Mostrando mensaje 737     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1688 Año 9, sábado 19 de febrero de 2005 Fecha: Sabado, 19 de Febrero, 2005  08:17:09 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1688 Año 9, sábado 19 de febrero de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - W32/Mydoom.R. Gusano de gran propagación 2 - Inyección de código en ASP.Net (Cross-Site-Scripting) 3 - W32/Derdero.A. Borra todos los ejecutables de C: 4 - Vulnerabilidades en nombres de dominio internacionales _____________________________________________________________ 1 - W32/Mydoom.R. Gusano de gran propagación _____________________________________________________________ http://www.vsantivirus.com/mydoom-r.htm Nombre: W32/Mydoom.R Nombre NOD32: Win32/Mydoom.R Heurística NOD32: Si (NewHeur_PE) Tipo: Gusano de Internet Alias: Mydoom.R, MyDoom.M, Mydoom.N, Email- Worm.Win32.Mydoom.am, Email-Worm.Win32.Mydoom.m, I- Worm.Mydoom.M, I-Worm.Mydoom.m, Mydoom.AU, Mydoom.AW, MyDoom.BB, Mydoom.M@MM, W32.Mydoom.AX@mm, W32/Downloader, W32/Mydoom.AO.worm, W32/Mydoom.AW, W32/Mydoom.AY@mm, W32/Mydoom.bb@MM, W32/Mydoom.M.worm, W32/Mydoom.N.worm, W32/Mydoom.o@MM, W32/Mydoom.R, W32/MyDoom-O, Win32.HLLM.MyDoom.54464, Win32.Mydoom.AQ@mm, Win32.Mydoom.AU, Win32/Mydoom.AU!Worm, Win32/Mydoom.BB@mm, Win32/Mydoom.R, Worm.Mydoom.M-2, Worm/MyDoom.BB, WORM_MYDOOM.BB, WORM_MYDOOM.M Fecha: 26/jul/04, 16/feb/05 Plataforma: Windows 32-bit Tamaños: 28,832 bytes (UPX), 25,771 bytes (MEW) Última modificación: 18/feb/05 Variante de este gusano escrito en Visual C++, que se propaga por correo electrónico. Utiliza su propio motor SMTP. Fue reportado por primera vez el 26 de julio de 2004 y considerado como de gran propagación por los principales fabricantes de antivirus. NOTA: El 16 de febrero de 2005 se reportó una variante del mismo, recompilada con el compresor de ejecutables MEW, y detectada desde el principio por NOD32 como NewHeur_PE (detección heurística). Descarga un componente backdoor que actúa como un servidor que permite a un usuario remoto ejecutar ciertas acciones en los equipos infectados. Este componente es identificado como Zincite.A por algunos antivirus. Más información: Back/Zincite.A. Servidor de puerta trasera http://www.vsantivirus.com/back-zincite-a.htm Puede llegar en un mensaje con las siguientes características: Asunto: [uno de los siguientes] - click me baby, one more time - delivery failed - Delivery reports about your e-mail - error - hello - hi error - Mail System Error - Returned Mail - Message could not be delivered - report - Returned mail: Data format error - Returned mail: see transcript for details - say helo to my litl friend - status - test - The original message was included as attachment - The/Your m/Message could not be delivered Texto del mensaje: El texto del mensaje es creado con varios componentes seleccionados al azar por el gusano. Los siguientes son solo ejemplos que pueden variar en la construcción de algunas frases y la selección de diferentes palabras: Ejemplo 1: Dear user of [dominio], We have received reports that your account was used to send a large amount of unsolicited e-mail messages during the last week. Obviously, your computer had been compromised by a recent virus and now contains a trojaned proxy server. We recommend you to follow our instructions in the attachment file in order to keep your computer safe. Have a nice day, [dominio] support team. Ejemplo 2: The message was undeliverable due to the following reasons: Your message could not be delivered because the destination server was unreachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now. Ejemplo 3: Your message could not be delivered within [número al azar] days: Host [servidor] is not responding. The following recipients could not receive this message: <[dirección]> Please reply to postmaster@[dominio] if you feel this message to be in error. The original message was received at [hora] from [dominio] ----- The following addresses had permanent fatal errors ----- <[dirección]> ----- Transcript of session follows ----- ... while talking to host [dominio]: >>> MAIL From:[dirección] <<< 50$d Refused unknown 554 <[dirección]>... Mail quota exceeded 554 <[dirección]>... Service unavailable Session aborted, reason: lost connection <<< 550 MAILBOX NOT FOUND User unknown The original message was included as attachment Ejemplo 4: Your message could not be delivered Datos adjuntos: [nombre]+[extensión] Donde [extensión] es una de las siguientes: .bat .cmd .com .exe .pif .scr .zip Y [nombre] es una parte o toda la dirección de correo a la que se envía, o una de las siguientes palabras: attachment document file instruction letter mail message readme text transcript Ejemplos: Si la dirección es "maria@hotmail.com" el adjunto puede ser alguno de los siguientes: maria@hotmail.zip hotmail.com maria.scr También podría ser alguno de los siguientes: attachment.exe letter.scr transcript.com Los adjuntos con extensión .ZIP son archivos comprimidos y contienen un archivo con nombre al azar y a veces dos extensiones separadas por una gran cantidad de espacios. Cuando se ejecuta el gusano, se crean los siguientes archivos: c:\windows\java.exe c:\windows\services.exe El segundo, es el troyano "Zincite.A" mencionado antes. El gusano crea las siguientes entradas en el registro, las dos primeras para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run JavaVM = c:\windows\java.exe Services = c:\windows\services.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run JavaVM = c:\windows\java.exe Services = c:\windows\services.exe HKCU\Software\Microsoft\Daemon HKLM\SOFTWARE\Microsoft\Daemon Para propagarse, el gusano extrae direcciones de correo de archivos con las siguientes extensiones en el equipo infectado: .adb .asp .dbx .ht* .ph* .pl* .sht* .tbb .tx* .wab Esto incluye las bases de mensajes del Outlook y la libreta de direcciones. Adicionalmente, el gusano realiza consultas a máquinas de búsqueda en Internet, utilizando los nombres de dominios de las direcciones encontradas en las máquinas infectadas, y luego examina los resultados para extraer nuevas direcciones. El gusano utiliza las siguientes máquinas de búsqueda, en un porcentaje diferente en cada caso: www.google.com (lo usa un 45% de las veces) search.lycos.com (lo usa un 22.5%) search.yahoo.com (lo usa un 20%) www.altavista.com (lo usa un 12.5%) El gusano evita enviarse a aquellas direcciones que contengan alguno de los siguientes textos en su nombre: abuse accou admin anyone arin. avp bar. bugs domain example feste foo foo.com gmail gnu. gold-certs google help hotmail info listserv mailer-d master microsoft msdn. msn. nobody noone not nothing ntivi page panda privacycertific rarsoft rating ripe. sample sarc. seclist secur sf.net site soft someone sophos sourceforge spam spersk submit support syma the.bat trend update uslis winrar winzip yahoo you your Intenta copiarse en aquellas carpetas cuyos nombres contengan algunos de estos textos: userprofile yahoo.com * Herramienta de limpieza automática: Descargue y ejecute esta herramienta en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla. Future Time Srl (NOD 32) http://www.nod32.it/cgi-bin/mapdl.pl?tool=MydoomR * Reparación manual Estas instrucciones incluyen la limpieza del troyano Back/Zincite.A: Back/Zincite.A. Servidor de puerta trasera http://www.vsantivirus.com/back-zincite-a.htm * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas de programas P2P Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema. Para ello, siga las instrucciones del siguiente artículo: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\java.exe c:\windows\services.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: JavaVM Services 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: JavaVM Services 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Daemon 7. Pinche en la carpeta "Daemon" y bórrela. 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Daemon 9. Pinche en la carpeta "Daemon" y bórrela. 10. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Publicado anteriormente: VSantivirus No. 1482 Año 8, martes 27 de julio de 2004 * Actualizaciones: 18/02/05 - 20:09 -0200 (Modificación en la descripción) 18/02/05 - 20:09 -0200 (Alias: Email-Worm.Win32.Mydoom.am 18/02/05 - 20:09 -0200 (Alias: Email-Worm.Win32.Mydoom.m 18/02/05 - 20:09 -0200 (Alias: Mydoom.AU 18/02/05 - 20:09 -0200 (Alias: Mydoom.AW) 18/02/05 - 20:09 -0200 (Alias: MyDoom.BB) 18/02/05 - 20:09 -0200 (Alias: Mydoom.M@MM) 18/02/05 - 20:09 -0200 (Alias: W32.Mydoom.AX@mm) 18/02/05 - 20:09 -0200 (Alias: W32/Downloader) 18/02/05 - 20:09 -0200 (Alias: W32/Mydoom.AO.worm) 18/02/05 - 20:09 -0200 (Alias: W32/Mydoom.AW) 18/02/05 - 20:09 -0200 (Alias: W32/Mydoom.AY@mm) 18/02/05 - 20:09 -0200 (Alias: W32/Mydoom.bb@MM) 18/02/05 - 20:09 -0200 (Alias: W32/Mydoom.R) 18/02/05 - 20:09 -0200 (Alias: Win32.HLLM.MyDoom.54464) 18/02/05 - 20:09 -0200 (Alias: Win32.Mydoom.AQ@mm) 18/02/05 - 20:09 -0200 (Alias: Win32.Mydoom.AU) 18/02/05 - 20:09 -0200 (Alias: Win32/Mydoom.AU!Worm) 18/02/05 - 20:09 -0200 (Alias: Win32/Mydoom.BB@mm) 18/02/05 - 20:09 -0200 (Alias: Worm.Mydoom.M-2) 18/02/05 - 20:09 -0200 (Alias: Worm/MyDoom.BB) 18/02/05 - 20:09 -0200 (Alias: WORM_MYDOOM.BB) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Inyección de código en ASP.Net (Cross-Site-Scripting) _____________________________________________________________ http://www.vsantivirus.com/vul-aspnet-xss-180205.htm Inyección de código en ASP.Net (Cross-Site-Scripting) Por Angela Ruiz angela@videosoft.net.uy Múltiples vulnerabilidades del tipo Cross-Site-Scripting (XSS), han sido reportadas en Microsoft ASP.Net, las cuáles pueden ser explotadas para ejecutar código malicioso (HTML/Javascript), en el navegador del usuario. ASP.Net es la nueva versión del tradicional ASP (Active Server Pages), lanzada en enero de 2002, y ampliamente utilizada por servidores de todo el mundo para la generación activa de páginas y aplicaciones Web. El fallo permite que un sitio web construido maliciosamente, pueda eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios (cross-site scripting). Esto es válido para cualquier sitio web o para un archivo local. El problema se produce cuando se manejan URLs especialmente modificadas para contener caracteres Unicode (conjunto de caracteres ASCII que utiliza dos bytes en lugar de uno para cada carácter). ASP.Net no filtra adecuadamente caracteres especiales utilizados en HTML (tales como '>', '<', y otros). Ello permite la inyección de código en parámetros URLs. * Productos afectados: - Microsoft ASP.Net Framework versión 1.0 - Microsoft ASP.Net Framework versión 1.0 Service Pack 1 - Microsoft ASP.Net Framework versión 1.0 Service Pack 2 - Microsoft ASP.Net Framework versión 1.1 - Microsoft ASP.Net Framework versión 1.1 Service Pack 1 Aunque Microsoft habría sido avisado el 2 de agosto de 2004, aún con el último parche de seguridad para ASP.NET instalado (a la fecha el MS05-004), igual se produce esta vulnerabilidad. El problema también afecta a implementaciones libres de .NET Framework de Mono Project: - Mono, versión 1.0.5 * Solución: No existen soluciones oficiales al momento actual. Se sugiere utilizar código Unicode solo para la salida en páginas ASP.Net. Si no se utiliza Unicode, igual se aconseja filtrar el uso de caracteres extensos en cualquier fuente de datos no confiables (entradas de usuario, cabezales HTTP, etc.) * Créditos: Andrey Rusyaev * Referencias: Microsoft ASP.NET Multiple Cross Site Scripting Vulnerabilities http://www.k-otik.com/english/advisories/2005/0182 XSS vulnerability in ASP.Net http://it-project.ru/andir/docs/aspxvuln/aspxvuln.en.xml * Relacionados: MS05-004 Validación de rutas en ASP.NET (887219) http://www.vsantivirus.com/vulms05-004.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Derdero.A. Borra todos los ejecutables de C: _____________________________________________________________ http://www.vsantivirus.com/derdero-a.htm Nombre: W32/Derdero.A Tipo: Gusano de Internet Alias: Derdero.A, Win32/Derdero.A, W32/Derdero@mm, I.worm.derdero@mm, W32.Derdero.A@mm, PE_DERDERO.A Fecha: 18/feb/05 Plataforma: Windows 32-bit Tamaño: 270,336 bytes Este gusano se propaga por correo electrónico y redes P2P. Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows. También puede infectar todos los archivos ejecutables .EXE en la unidad C: El mensaje que utiliza posee las siguientes características: De: [dirección falsa] o una de las siguientes server administration management service userhelp Asunto: [uno de los siguientes] AHKER.C Alert Detailed Information Malware Avoidance tips New Worm Alert Server Error URGENT PLEASE READ! Urgent Update! User Information Texto del mensaje: [uno de los siguientes] Your Email account information has been removed from the system due to inactivity. To renew your account information refer to the attachment We regret to inform you that your account has been hijacked and used for illegal purposes. The attachment has more information about what has happened. Our Email system has received reports of your account flooding email servers. There is more information on this matter in the attachment Due to recent internet attacks, your Email account security is being upgraded. The attachment contains more details Our server is experiencing some latency in our email service. The attachment contains details on how your account will be affected. A new worm is circulating around. To protect yourself, read the attached document Please run the urgent patch attached to protect yourself from a new worm As a service to our users, we have attached a note on avoiding malware. Datos adjuntos: [alguno de los siguientes] Account_Information.??? Details.??? Gift.??? Information.??? Malware_prevention_tips.??? Patch.??? Update.??? Word_Document.??? Donde ".???" es alguna de las siguientes extensiones: .bmp.cmd .cmd .doc.pif .exe .pif .scr .txt.exe .zip Si el adjunto es un .ZIP, su contenido es una copia del gusano con una de las extensiones anteriores. En ocasiones, el .ZIP puede contener otro archivo .ZIP, el cuál si contiene al ejecutable del virus. Cuando un adjunto, o un archivo infectado descargado de redes P2P es ejecutado, el gusano muestra una ventana de error falsa con el siguiente mensaje: Error Runtime error "4": String out of bounds [ OK ] El gusano crea los siguientes archivos en el equipo infectado: c:\windows\bloodred.zip c:\windows\system32\detroit.txt c:\windows\system32\exe64.sys c:\windows\system32\sysheal.exe c:\windows\system32\thunk32.exe c:\windows\system32\zip64.sys NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). También crea dos archivos con nombres en blanco y las siguientes extensiones en la misma carpeta desde haya sido ejecutado: .exe .pif El gusano infecta todos los archivos cuya extensión sea .EXE, en todos los directorios de la unidad C: Para propagarse por redes de intercambio de archivos, intenta crear los siguientes en aquellas carpetas cuyo nombre contenga la cadena SHAR (esto incluye las carpetas compartidas por defecto por la mayoría de las aplicaciones P2P): Adobe Photoshop 6 Full Version.exe Battlefield 1942.exe Britney spears naked Playboy.jpeg[espacios en blanco].pif DVD Copier.exe Hot Teen Porn.mpeg[espacios en blanco].exe Internet Explorer 7.exe jenna jameson screensver.scr Kazaa Lite 2005 Edition.zip[espacios en blanco].pif Nero ACID new cd burning and p2p.exe NETSKY SOURCE CODE.zip[espacios en blanco].exe Norton AntiVirus 2006 BETA.exe Snood new version.exe Tits.mpeg[espacios en blanco].scr Visual Studio.NET.FULL.rar[espacios en blanco].exe WinAmp 5 Crack.exe Windows Longhorn BETA.iso[espacios en blanco].exe Windows XP crack.zip[espacios en blanco].exe Windows XP Pro SP2.pif WinRAR.exe Young teen gets reamed.mpg[espacios en blanco].pif Para autoejecutarse en cada reinicio de Windows, crea la siguiente entrada en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 32-bit Thunking service = c:\windows\system32\thunk32.exe El gusano genera varios mutex (marcadores en memoria), para evitar ejecutarse mas de una vez al mismo tiempo o para evitar se ejecuten otros códigos. Para propagarse por correo electrónico, el gusano extrae los contactos a los que se enviará, de la libreta de direcciones de Windows, y evita enviarse a aquellos que contengan en su nombre alguna de las siguientes cadenas: @avp @fsecure @hotmail @microsoft @mm @msn @noreply @norman @norton @panda @sopho @symantec @virusli Para enviarse sus mensajes infectados, utiliza su propio motor SMTP. Examina si el equipo infectado se encuentra conectado a Internet, accediendo al sitio "www.kazaa.com";. Si el "Administrador de tareas" se encontrara abierto, el gusano lo cierra. También modifica el archivo HOSTS de Windows, para evitar que el usuario pueda navegar por los siguientes sitios: ca .com google .com liveupdate .symantec .com mcafee .com microsoft .com nai .com norton .com windowsupdate .com www .ca .com www .google .com www .mcafee .com www .microsoft .com www .nai .com www .norton .com www .sophos .com www .windowsupdate .com www .yahoo .com yahoo .com Intenta finalizar la ejecución de los siguientes procesos, relacionados con antivirus y aplicaciones de seguridad: agentsvr.exe anti-trojan.exe antivirus.exe ants.exe apimonitor.exe aplica32.exe apvxdwin.exe atcon.exe atguard.exe atro55en.exe atupdater.exe atwatch.exe au.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avgserv9.exe avltmain.exe avprotect9x.exe avpupd.exe avserve2.exe avsynmgr.exe avwupd32.exe avxquar.exe bd_professional.exe bidef.exe bidserver.exe bipcp.exe bipcpevalsetup.exe bisp.exe blackd.exe blackice.exe bootwarn.exe borg2.exe bs120.exe ccapp.exe cdp.exe cfgwiz.exe cfiadmin.exe cfiaudit.exe cfinet.exe cfinet32.exe clean.exe cleaner.exe cleaner3.exe cleanpc.exe cmgrdian.exe cmon016.exe cpd.exe cpf9x206.exe cpfnt206.exe cv.exe cwnb181.exe cwntdwmo.exe d3dupdate.exe defwatch.exe deputy.exe dpf.exe dpfsetup.exe drwatson.exe drwebupw.exe ent.exe escanh95.exe escanhnt.exe escanv95.exe exantivirus-cnet.exe fast.exe firewall.exe flowprotector.exe fp-win_trial.exe frw.exe fsav.exe fsav530stbyb.exe fsav530wtbyb.exe fsav95.exe gbmenu.exe gbpoll.exe guard.exe hacktracersetup.exe htlog.exe hwpe.exe iamapp.exe iamserv.exe icload95.exe icloadnt.exe icmon.exe icssuppnt.exe icsupp95.exe icsuppnt.exe ifw2000.exe iparmor.exe iris.exe jammer.exe kavlite40eng.exe kavpers40eng.exe kerio-pf-213-en-win.exe kerio-wrl-421-en-win.exe kerio-wrp-421-en-win.exe killprocesssetup161.exe ldpro.exe localnet.exe lockdown.exe lockdown2000.exe lsetup.exe luall.exe lucomserver.exe luinit.exe mcagent.exe mcupdate.exe mfw2en.exe mfweng3.02d30.exe mgui.exe minilog.exe moolive.exe mrflux.exe msconfig.exe msinfo32.exe mssmmc32.exe mu0311ad.exe nav80try.exe navapw32.exe navdx.exe navstub.exe navw32.exe nc2000.exe ncinst4.exe ndd32.exe neomonitor.exe netarmor.exe netinfo.exe netmon.exe netscanpro.exe netspyhunter-1.2.exe netstat.exe nisserv.exe nisum.exe nmain.exe norton_internet_secu_3.0_407.exe npf40_tw_98_nt_me_2k.exe npfmessenger.exe nprotect.exe nsched32.exe ntvdm.exe nupgrade.exe nvarch16.exe nwinst4.exe nwtool16.exe ostronet.exe outpost.exe outpostinstall.exe outpostproinstall.exe padmin.exe panixk.exe pavproxy.exe pcc2002s902.exe pcc2k_76_1436.exe pcciomon.exe pcdsetup.exe pcfwallicon.exe pcip10117_0.exe pdsetup.exe periscope.exe persfw.exe pf2.exe pfwadmin.exe pingscan.exe platin.exe poproxy.exe popscan.exe portdetective.exe ppinupdt.exe pptbc.exe ppvstop.exe procexplorerv1.0.exe proport.exe protectx.exe pspf.exe purge.exe pview95.exe qconsole.exe qserver.exe rav8win32eng.exe rescue.exe rescue32.exe rrguard.exe rshell.exe rtvscn95.exe rulaunch.exe safeweb.exe sbserv.exe sd.exe setup_flowprotector_us.exe setupvameeval.exe sfc.exe sgssfw32.exe shellspyinstall.exe shn.exe smc.exe sofi.exe spf.exe sphinx.exe spyxx.exe ss3edit.exe st2.exe supftrl.exe supporter5.exe symproxysvc.exe sysedit.exe taskmon.exe taumon.exe tauscan.exe tc.exe tca.exe tcm.exe tds2-98.exe tds2-nt.exe tds-3.exe tfak5.exe tgbob.exe titanin.exe titaninxp.exe tracert.exe trjscan.exe trjsetup.exe trojantrap3.exe undoboot.exe update.exe vbcmserv.exe vbcons.exe vbust.exe vbwin9x.exe vbwinntw.exe vcsetup.exe vfsetup.exe virusmdpersonalfirewall.exe vnlan300.exe vnpc3000.exe vpc42.exe vpfw30s.exe vptray.exe vscenu6.02d30.exe vsecomr.exe vshwin32.exe vsisetup.exe vsmain.exe vsmon.exe vsstat.exe vswin9xe.exe vswinntse.exe vswinperse.exe w32dsm89.exe w9x.exe watchdog.exe webscanx.exe wgfe95.exe whoswatchingme.exe winrecon.exe wnt.exe wradmin.exe wrctrl.exe wsbgate.exe wyvernworksfirewall.exe xpf202en.exe zapro.exe zapsetup3001.exe zatutor.exe zauinst.exe zonalm2601.exe zonealarm.exe * Reparación manual IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos borrados, dependerá del daño causado por el gusano desde el momento de ocurrida la infección, hasta el momento de su detección. * Deshabilitar las carpetas compartidas de programas P2P Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema. Para ello, siga las instrucciones del siguiente artículo: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: 32-bit Thunking service 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Vulnerabilidades en nombres de dominio internacionales _____________________________________________________________ http://www.vsantivirus.com/ucert-idn.htm Vulnerabilidades en nombres de dominio internacionales CERT-MEXICO - Departamento de Seguridad en Computo (*) http://www.unam-cert.unam.mx/ * Introducción Desde que se reporto un problema de engaño (spoofing) en los nombres de dominio internacionales (IDN por sus siglas en ingles), se ha generado un intenso debate de quien es el culpable y por que esto actualmente constituye una vulnerabilidad. El asunto parece ser simple. Actualmente, es posible registrar nombres de dominio bajo los dominios de alto nivel (TLD) como .com, los cuales utilizan un conjunto de caracteres nacionales como chinos, escandinavos, japoneses y otros. Esta gran variedad de caracteres puede ser utilizada para desplegar nombres de dominio, los cuales son muy similares a los dominios basados en los caracteres tradicionales ASCII. Obviamente, esto puede ser explotado para engañar a la gente y hacerle creer que están actualmente en un sitio web confiable en una forma mas convincente que los dominios basados usualmente en caracteres ASCII con omisión de puntos, ligeros cambios en las letras, uso de "1" (uno) en lugar de la "l" (ele) , etcétera. Por ejemplo, suponga que desea entrar a un banco como Banamex (en México) y en lugar de entrar al sitio http://banamex.com.mx/eng/personal/login.html, es llevado a http://banarnex.com/ o http://boveda.banammex.com Aquellos que están en favor de usar dominios IDN, argumentan que ya sea que los vendedores de navegadores deberían proporcionar información al usuario cada vez que es visitado un dominio internacional con una indicación clara de que se deberían utilizar listas negras de nombres de dominios y caracteres que podrían ser explotados para engañar a los usuarios. Existen muchas razones por las que ICANN, los vendedores de navegadores y otras partes deberían regresar al tema y reconsiderar la implementación del estándar IDN antes que Microsoft libere Internet Explorer con soporte para IDN, ya que esto se expandirá de forma masiva entre negocios legítimos, quienes intentaran proteger sus marcas y evitar fraudes tipo scam, de quienes desean obtener detalles de tarjetas de crédito y otra información valiosa de los usuarios. * El problema El problema es causado cuando un resultado involuntario de la implementación de IDN (International Domain Name), la cual permite usar caracteres internacionales en nombres de dominio. Esto puede ser explotado al registrar nombres de dominio con ciertos caracteres internacionales que reensamblan otros caracteres usados comúnmente, de tal forma que causa que el usuario crea que esta en un sitio confiable. La solución es no seguir ligas de fuentes no confiables, y por el contrario, escribir manualmente el URL en la barra de direcciones del navegador. Sin embargo, ya existen medidas que están tomando los fabricantes de navegadores, como es el caso de Firefox, que deshabilito el soporte para IDN como una defensa ante el phishing. Otro caso es la barra de Netcraft, que al momento de ingresar a un sitio verifica si este no puede ser de procedencia dudosa, advirtiendo al usuario. * ¿Como saber si es vulnerable? Secunia ha diseñado una pagina de prueba (http://secunia.com/multiple_browsers_idn_spoofing_test/), y en caso de ser vulnerable abre una pagina de Secunia con el URL: http://www.paypal.com/. * Conclusiones Es claro que la Internet tiene un cierto grado de discriminación de la parte del mundo que no habla ingles, solo un sub conjunto limitado de caracteres del estándar ASCII son permitidos en los nombres de dominio, el estándar IDN actualmente permite para cualquier persona una solución muy fácil que no discrimina a nadie y al mismo tiempo deja los dominios tan confiables como lo son actualmente: Permite a los japoneses utilizar caracteres de su idioma bajo .jp, los chinos bajo .cn, los alemanes bajo .de, etc. Esto efectivamente limitara el uso de caracteres nacionales a dominios nacionales y los usuarios, quienes utilizan dichos caracteres - esos usuarios también son los usuarios que confiaran en los beneficios del uso de caracteres nacionales. Después de todo, el dominio de alto nivel (TLD por sus siglas en ingles) .com fue pensado para ser un dominio destinado al comercio que podría ser utilizado y accedido por los negocios de todo el mundo. Accediendo al dominio .com con letras chinas podría ser casi imposible utilizando un teclado ingles. No podemos negar la importancia del uso de caracteres internacionales en la definición de dominios, mas que ser un mal es provechoso para los usuarios que no son de habla inglesa. Sin embargo, las implementaciones de dicho estándar, exceptuando IE de Microsoft que aun no la ha realizado, sufren problemas de engaño (spoofing) que pueden derivar en los muy conocidos ataques de phishing scam, estafas repercutiendo en la economía de muchas personas y organizaciones. * Sistemas afectados actualmente - i-Nav de VeriSign - Konqueror - Mozilla Firefox - Netscape - OmniWeb 5x - Opera - Safari * Referencias Secunia (www.secunia.org) NetCraft (news.netcraft.com) Riesgo de spoofing en múltiples navegadores (IDN) http://www.vsantivirus.com/vul-idn-spoofing-080205.htm * Fuente UNAM-CERT http://www.unam-cert.org/ * Tomado de: Vulnerabilidades en Nombres de Dominio Internacionales http://www.seguridad.unam.mx/noticias/?noti=400 (*) Este artículo fue publicado originalmente por UNAM-CERT (Equipo de Respuesta a Incidentes de Seguridad en Cómputo), de la Universidad Nacional Autónoma de México, y se reproduce en VSAntivirus respetando las condiciones legales exigidas por dicha publicación: http://www.cert.org.mx/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1688 Año 9, sábado 19 de febrero de 2005