Mostrando mensaje 740     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1691 Año 9, martes 22 de febrero de 2005 Fecha: Martes, 22 de Febrero, 2005  03:27:29 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1691 Año 9, martes 22 de febrero de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - ¿Batería de celular baja?... ¡puede estar infectado! 2 - Back/Rbot.CRG. Utiliza la vulnerabilidad RPC/DCOM 3 - W32/Sober.K. Envía mensajes en inglés o alemán _____________________________________________________________ 1 - ¿Batería de celular baja?... ¡puede estar infectado! _____________________________________________________________ http://www.vsantivirus.com/ev-22-02-05.htm ¿Batería de celular baja?... ¡puede estar infectado! Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] El 14 de junio de 2004 se convirtió en una fecha muy especial para los virus informáticos. Ese día fue reportado el que se considera como primer virus de teléfonos móviles. Sin embargo, tuvo poca repercusión en el número de equipos infectados. Pero ahora, en febrero de 2005, la amenaza empieza a ser más real, y quizás la próxima llamada que reciba su celular, sea la del gusano. Según reportan las agencias de noticias, el Cabir, considerado como el primer virus de teléfonos móviles del mundo, ya se encuentra "en la calle", y ha infectado móviles al menos en los Estados Unidos. Cabir parece haber nacido en Filipinas hace ocho meses (junio de 2004), como una simple prueba de concepto. A pesar que a partir de entonces han sido detectadas más de 15 variantes, nunca fue considerado un riesgo, ni tampoco dio indicios de poder distribuirse a nivel global. Hoy día se sabe que ha sido visto en al menos 12 países, y ha ganado la atención pública por la reciente aparición de dos casos reportados en los Estados Unidos. Casi por casualidad, el Cabir fue encontrado en dos celulares Nokia, al menos uno de ellos en exhibición en una tienda en Santa Mónica, California. Un ingeniero de la compañía Symantec que transitaba por el lugar, notó que un teléfono celular que se exhibía en los estantes de la tienda estaba infectado. Al intentar avisar del suceso al dueño de la misma, observó que su propio celular se acababa de infectar. Este gusano es capaz de reproducirse a través de equipos Nokia Serie 60, aprovechando su posibilidad de conectarse teléfono a teléfono mediante la tecnología inalámbrica Bluetooth. Si encuentra un equipo disponible, el gusano envía una petición de transferencia, y cuando el usuario la acepta e instala, entonces se copia en un directorio del equipo, y sigue buscando por otros equipos que tengan la capacidad de comunicarse a través de Bluetooth. El impacto más grande del virus, relativamente inofensivo, es que produce un notorio desgaste de las baterías del teléfono móvil producto de su frecuente actividad (cada 15 o 20 segundos intenta conectarse a otro móvil). Esto marca inexorablemente el principio de la era de los virus en los teléfonos móviles, que un día no muy lejano, podría llegar a perturbar las vidas de más de mil quinientos millones de usuarios en el mundo entero. Para que un celular pueda ser infectado por el gusano Cabir, debe tener instalado el Sistema Operativo Symbian de la serie 60, además de contar con conexión inalámbrica Bluetooth, activada en modo "discoverable". Una de las tareas más importantes que se deben realizar es el descubrimiento automático de otros dispositivos Bluetooth que se encuentren dentro del radio de cobertura. Esta operación se denomina en inglés inquiry (consulta). Un dispositivo remoto sólo contesta a la consulta si se encuentra configurado en modo descubrimiento (discoverable mode). De todos modos, para infectarse, el usuario deberá ignorar una advertencia del propio sistema (el gusano se presenta como la instalación de alguna clase de herramienta o utilidad). Aunque al momento actual la cantidad de reportes es mínima, se sabe de infecciones en por lo menos cuatro naciones europeas (Finlandia, Gran Bretaña, Italia y Rusia), y en países de Asia y América latina, además de los Estados Unidos. (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: www.enciclopediavirus.com/noticias/verNoticia.php?id=524 * Más información: Primer gusano para teléfonos móviles http://www.vsantivirus.com/ev-15-06-04.htm Infección de teléfonos móviles vía Bluetooth http://www.vsantivirus.com/ev-04-12-04.htm Búsqueda en VSAntivirus: Cabir http://search.freefind.com/find.html?oq=nokia&id=8696148&pagei d=r&lang=es&query=cabir&mode=ALL&search=all (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Rbot.CRG. Utiliza la vulnerabilidad RPC/DCOM _____________________________________________________________ http://www.vsantivirus.com/rbot-crg.htm Nombre: W32/Rbot.CRG Nombre NOD32: Win32/Rbot.CRG Tipo: Gusano de Internet y caballo de Troya de acceso remoto Alias: Rbot.CRG, Backdoor.RBot.27343C51, Backdoor.Win32.Rbot.ic, Backdoor.Win32.Rbot.ix, W32.Spybot.Worm, W32/Sdbot.worm, W32/Sdbot.worm.gen, W32/Sdbot.worm.gen.y, Win32.HLLW.MyBot, Win32/Rbot.CRG, Worm/RBot.98304, WORM_RBOT.ALS Fecha: 18/feb/05 Plataforma: Windows NT, 2000, XP Tamaño: 98,304 bytes (Morphine) Gusano que se propaga por recursos compartidos de redes, intentando conectarse al recurso IPC$ (Inter-Process Communication). Este es un recurso compartido oculto, estándar en máquinas NT, utilizado para establecer comunicación con otros equipos. Si logra conectarse, intentará liberar una copia de si mismo en el equipo remoto. Si este recurso compartido posee derechos restringidos de acceso, el gusano utilizará una lista de nombres de usuario y contraseñas predefinidos, para intentar conectarse. El gusano también explota las vulnerabilidades RPC/DCOM y LSASS en equipos sin los parches o actualizaciones correspondientes. Posee capacidades de caballo de Troya de acceso remoto por puerta trasera. Se conecta a un servidor de IRC remoto, y se une a un canal específico, donde queda esperando instrucciones. Si estos comandos son ejecutados por un atacante, éste tendrá el control total del equipo. El atacante podrá usar también el equipo infectado para lanzar ataques de denegación de servicio (DoS) a determinados sitios de Internet. El gusano es capaz de robar las identificaciones de productos de Microsoft Windows así como las claves de registro de CD de conocidos juegos. Puede ejecutar el sniffer de redes Carnivore para obtener contraseñas y otra clase de información. Cuando se ejecuta, se copia en el directorio System32 de Windows: c:\windows\system32\wingtp.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000). Para ejecutarse en cada reinicio del sistema, crea las siguientes claves en el registro: HKCU\Software\Microsoft\OLE Microsofts media = "wingtp.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Microsofts media = "wingtp.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Microsofts media = "wingtp.exe" También crea las siguientes entradas: HKLM\SOFTWARE\Microsoft\Ole EnableDCOM = "N" HKLM\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous = "dword:00000001" El troyano contiene código para explotar la vulnerabilidad RPC/DCOM y también la que afecta al componente LSASS. Para ello, escanea la subred local (clase B), enviando paquetes SYN al puerto TCP/445, en busca de equipos que respondan. Puede propagarse por el recurso compartido IPC$. Si el acceso está restringido, intenta aprovecharse del uso de contraseñas de administrador débiles, utilizando la siguiente lista de nombres de usuario y contraseñas: Nombres de usuario: admin administrador administrateur administrator admins computer database db2 dba default guest oracle owner root staff student teacher wwwadmin Contraseñas: access accounting accounts adm admin administrador administrat administrateur administrator admins asd backup bill bitch blank bob brian changeme chris cisco compaq control data database databasepass databasepassword db1 db1234 db2 dbpass dbpassword default dell demo domain domainpass domainpassword eric exchange fred fuck george god guest hell hello home homeuser hp ian ibm internet intranet jen joe john kate katie lan lee linux login loginpass luke mail main mary mike neil nokia none null oem oeminstall oemuser office oracle orainstall outlook pass pass1234 passwd password password1 peter pwd qaz qwe qwerty root sa sam server sex siemens slut sql sqlpassoainstall student sue susan system teacher technical test unix user web win2000 win2k win98 windows winnt winpass winxp www xp zxc 1 007 12 123 1234 2000 2001 2002 2003 2004 12345 123456 1234567 12345678 123456789 1234567890 Un atacante, podrá realizar las siguientes acciones (entre otras), en los equipos infectados: - Buscar un archivo en el equipo - Cambiar el servidor de IRC - Capturar la salida del teclado - Conectarse o desconectarse del servidor - Descargar archivos vía FTP - Ejecutar archivos .EXE - Ejecutar funciones de línea de comandos - Enviar archivos vía DCC (comunicación directa entre clientes de IRC, sin pasar por el servidor). - Generar un nuevo nick al azar - Listar todos los procesos activos - Vaciar caches de DNS (flushing) El gusano permite también realizar ataques de denegación de servicio a determinados sitios, por medio del envío masivo de paquetes ICMP, PING, SYN, TCP y UDP. Puede lanzar el Carnivore (un sniffer -olfateador- del tráfico de una red), para obtener contraseñas y otra información. La herramienta intentará interceptar las siguientes cadenas: : auth : login :!auth :!hashin :!login :!secure :!syn :$auth :$hashin :$login :$syn :%auth :%hashin :%login :%syn :&auth :&login :*auth :*login :,auth :,login :.auth :.hashin :.login :.secure :.syn :/auth :/login :?auth :?login :@auth :@login :\auth :\login :~auth :~login :+auth :+login :=auth :=login :'auth :-auth :'login :-login CDKey JOIN # login NICK now an IRC Operator OPER PASS paypal PAYPAL.COM paypal.com USER El gusano solo se puede propagar bajo Windows NT, 2000, y XP. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * IMPORTANTE: Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces: MS03-039 Ejecución de código en servicio RPCSS (824146) http://www.vsantivirus.com/vulms03-039.htm MS04-011 Actualización crítica (LSASS) (835732) http://www.vsantivirus.com/vulms04-011.htm * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre el siguiente archivo: c:\windows\system32\wingtp.exe Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \OLE 3. Haga clic en la carpeta "OLE" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Microsofts media = "wingtp.exe" 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Ole 5. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Nombre", busque la siguiente entrada y cambie su valor por "Y": EnableDCOM 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Microsofts media = "wingtp.exe" 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 9. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Microsofts media = "wingtp.exe" 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \Lsa 11. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Nombre", busque la siguiente entrada y cambie su valor por cero (dword:00000000): restrictanonymous 12. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Sober.K. Envía mensajes en inglés o alemán _____________________________________________________________ http://www.vsantivirus.com/sober-k.htm Nombre: W32/Sober.K Nombre NOD32: Win32/Sober.K Tipo: Gusano de Internet Alias: Sober.K, Sober.M, Email-Worm.Win32.Sober.k, W32.Sober.K@mm, W32/Sober.K@mm, W32/Sober.l@MM, W32/Sober.M.worm, W32/Sober.M@mm, W32/Sober-K, Win32.Sober.K, Win32/Sober.K.Worm, WORM_SOBER.K Fecha: 21/feb/05 Plataforma: Windows 32-bit Tamaño: 51,688 bytes (UPX) Herramienta de limpieza: Si Variante del Sober, detectado el 21 de febrero de 2005. Escrito en Microsoft Visual Basic y comprimido con la herramienta UPX, se propaga por correo electrónico, o es enviado en forma de spam. Los mensajes tienen asuntos y textos en inglés o alemán. Utiliza su propio motor SMTP, de modo que no depende del cliente utilizado por la víctima para enviarse. El remitente siempre es falso, y es seleccionado al azar de la lista de direcciones a las que el gusano se envía. El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones: .at .ch .de También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés. Los nombres de los adjuntos varían. Mensajes en inglés: Asunto: [uno de los siguientes] Alert! New Sober Worm! Mail_delivery_failed Paris Hilton, pure! You visit illegal websites Your new Password De: [uno de los siguientes remitentes falsos] Admin FBI hostmaster Melanie@yahoo.com Michele@yahoo.com Officer police postmaster register security@microsoft.com service Web webmaster Texto del mensaje: [uno de los siguientes] Ejemplo 1: Thanks for your registration! We have received your payment. For more detailed information, read the attached text. Ejemplo 2: This is an automatically generated Delivery Status Notification. ESMTP Error [] I'm afraid I wasn't able to deliver your message. This is a permanent error; I've given up. Sorry it didn't work out. The full mail-text and header is attached Ejemplo 3: More than 50 HOT Hilton Videos More than 3000 Hilton picks FREE Download until April, 2005 Make your own Download Account, it's free! Further details are attached Thanks & have fun ;) Ejemplo 4: ATTENTION! Antivirus vendors are warning of a new variant of the Sober virus discovered today that can delete the hard disk. Protection: Download and read the zipped patch. It's very easy to install! Thanks for your cooperation! --- (c)2005 Microsoft Corporation. All rights reserved --- Microsoft Corporation --- One Microsoft Way --- Redmond, Washington 98052-6399 Ejemplo 5: Dear Sir/Madam, we have logged your IP-address on more than 40 illegal Websites. Important: Please answer our questions! The list of questions are attached. Yours faithfully, M. John Stellford ++-++ Federal Bureau of Investigation -FBI- ++-++ 935 Pennsylvania Avenue, NW, Room 2130 ++-++ (202) 324-3000 Datos adjuntos: [uno de los siguientes] header_????.zip help-text.zip indictment_cit.zip patch_????.zip register.zip register_????.zip text.zip text-????.zip text_????.zip Donde "????" es un número generado al azar. El texto del mensaje puede agregar uno de los siguientes falsos reportes de antivirus: Ejemplo 1: Attachment: No Virus found *-* Anti-Virus Service *-* http://www.[dominio] Ejemplo 2: Mail-Scanner: No Virus detected *-* Anti-Virus Service *-* http://www.[dominio] Ejemplo 3: AntiVirus: Found to be clean *-* Anti-Virus Service *-* http://www.[dominio] Mensajes en alemán: Asunto: [uno de los siguientes] EMail-Empfang fehlgeschlagen Ihr neues Passwort Ihr Passwort wurde geaendert Paris Hilton Nackt! Paris Hilton SexVideos Seitensprung gesucht? Vorsicht! Neuer Sober Wurm! De: [uno de los siguientes remitentes falsos] Hostmaster Melanie@yahoo.com Michele@yahoo.com Postmaster Register security@microsoft.com Service Webmaster Texto del mensaje: [uno de los siguientes] Ejemplo 1: ## Diese E-Mail wurde automatisch generiert ## Aus Gruenden der Sicherheit, bekommen Sie diese E-Mail ## wenn Ihr aktuelles Benutzer- Passwort veraendert wurde --------------- Ihr neues Passwort und weiter Informationen befinden sich im beigefuegten Dokument. **** Ein Service von **** http://www.[dominio] **** Mail: Help-Line Ejemplo 2: Vielen Dank, dass Sie sich bei registriert haben. Der Betrag von ,- Euro ist erfolgreich auf unserem Konto eingegangen. Passwort, Benutzername und weitere wichtige Informationen zu ihrem neuen Account befinden sich im angehefteten Dokument. Hochachtungsvoll Silvia Hochberger Ejemplo 3: - System Mail - Diese an ihnen gerichtete E-Mail, wurde in einem falschen Format gesendet. Der Betreff, Header und Text dieser Mail, wurde deshalb separat in einer Text-Datei gespeichert und gezippt. Vielen Dank fuer Ihr Verstaendnis [System auto- mail] Ejemplo 4: Guten Tag, mehr als 50 Videos, Mehr als 1000 heisse Fotos und mehr als 300 original Sounds von der kleinen Hilton ........ . Alles frei zum Download, aber nur bis zum 01 April 2005 !!! Weitere Details entnehmen Sie bitte dem vorliegendem Dokument. Vielen Dank! Ejemplo 5: Hallo, wir hoffen das Ihnen die Betreffszeile unsere Mail genug sagt. Der Jugendschutz verbietet uns leider mehr Auskunft ueber unser Angebot zu geben. Informationen,,,, wie Sie sich bei uns anmelden koennen befinden sich im beigefuegten Dokument. Natuerlich ist die Anmeldung Kostenlos! Mehr als 2.5 Millionen registrierte Benutzer!!! Da ist fuer jeden was dabei! Auf Wiedersehen Ejemplo 6: Wichtige Information! Eine neue Sober-Variante verbreitet sich derzeit im Internet. Wie seine Vorgaenger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen. Es wird deshalb empfohlen, das Patch-Tool auszufuehren um sich vor diesem Wurm zu schuetzen bzw. diesen wieder zu entfernen. --- (c)2005 Microsoft Corporation. Alle Rechte vorbehalten --- Vertretungsberechtigter: Juergen Gallmann --- E-Mail Adresse: security@microsoft.com Datos adjuntos: [uno de los siguientes] Formular.zip Patch-????.zip PSW-Text.zip Register-Info.zip Tool.zip zipped-mail.zip zipped-text.zip Donde "????" es un número generado al azar. El texto del mensaje puede agregar uno de los siguientes falsos reportes de antivirus: Ejemplo 1: Anhang Scanner: Kein Virus enthalten *-* Anti-Virus Service *-* http://www.[dominio] Ejemplo 2: Mail Scanner: Kein Virus gefunden *-* Anti-Virus Service *-* http://www.[dominio] Ejemplo 3: AntiVirus System: No Virus found *-* Anti-Virus Service *-* http://www.[dominio] El gusano solo se ejecuta cuando el usuario hace doble clic sobre el adjunto. Cuando ello sucede, abre el editor de texto por defecto (por ejemplo el bloc de notas), para hacer creer al usuario que se trata de un archivo inofensivo, mostrando un mensaje falso: Text#674327: ------------ ------------------------- %winzip CodeText Modul% is missing ---------------------- uP+hKpAAJQAUANi4QABsloM93weYEgr1tmyaZ bf8Awg3GdxouA3WDLJOotEzJ [etc...] Cuando se ejecuta, el gusano crea tres copias de si mismo en la siguiente ubicación: c:\windows\msagent\win32\csrss.exe c:\windows\msagent\win32\smss.exe c:\windows\msagent\win32\winlogon.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). También crea los siguientes archivos, los cuáles son utilizados para almacenar la lista de direcciones a las que se envía, y la versión comprimida del gusano en formato MIME para adjuntarse en los mensajes infectados: c:\windows\msagent\win32\datamx1.dat c:\windows\msagent\win32\datamx2.dat c:\windows\msagent\win32\datamx3.dat c:\windows\msagent\win32\goto1.dat c:\windows\msagent\win32\goto2.dat c:\windows\msagent\win32\goto3.dat c:\windows\msagent\win32\zippedso1.ber c:\windows\msagent\win32\zippedso2.ber c:\windows\msagent\win32\zippedso3.ber Ocasionalmente puede crear un archivo READ.ME conteniendo el siguiente texto: Ist eine weitere Test-Version. Lauft nur ein paar Tage! In diesem Sinne: Odin alias Anon Mantiene dos procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro. Dos de los archivos copiados en el sistema (los que poseen nombres al azar), se encargan de monitorear esto, y de crear de inmediato una nueva copia, por lo que la limpieza debe hacerse en modo a prueba de fallos. Crea las siguientes entradas para auto ejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run _winsystem.sys = c:\windows\msagent\win32\smss.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run winsystem.sys = c:\windows\msagent\win32\smss.exe El gusano utiliza su propio motor SMTP (Simple Mail Transfer Protocol), para enviarse en forma masiva. Obtiene las direcciones de archivos con las siguientes extensiones: .abc .abd .abx .adb .ade .adp .adr .asp .bak .bas .cfg .cgi .cls .cms .csv .ctl .dbx .dhtm .doc .dsp .dsw .eml .fdb .frm .hlp .imb .imh .imh .imm .inbox .ini .jsp .ldb .ldif .log .mbx .mda .mdb .mde .mdw .mdx .mht .mmf .msg .nab .nch .nfo .nsf .nws .ods .oft .php .phtm .pl .pmr .pp .ppt .pst .rtf .shtml .slk .sln .stm .tbb .txt .uin .vap .vbs .vcf .wab .wsh .xhtml .xls .xml Evita enviarse a direcciones cuyos nombres contengan algunas de las siguientes cadenas: .dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock -dav detection domain. emsisoft ewido. freeav free-av ftp. gold-certs google host. iana- iana@ icrosoft. info@ ipt.aol law2 linux mailer-daemon mozilla mustermann@ nlpmail01. noreply nothing ntp- ntp. ntp@ reciver@ secure smtp- somebody someone spybot sql. subscribe support t-dialin test@ time t-ipconnect user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname Periódicamente, el gusano comprueba la existencia del archivo XCVFPOKD.TQA. Si existe, el gusano se auto desinstala de memoria. Si el mencionado archivo está presente en la carpeta System (o System32) de Windows antes de existir una infección, entonces el gusano no se instalará en dicho equipo. Mientras versiones anteriores mantenían dos procesos activos en memoria, esta versión mantiene tres, para permanecer siempre residente. Si se elimina cualquiera de ellos, los demás crean un nuevo proceso. Algunos de los archivos copiados en el sistema se encargan de monitorear esto, y de crear de inmediato una nueva copia, por lo que la limpieza manual debe hacerse en modo a prueba de fallos (la herramienta de limpieza automática de NOD32 elimina eficazmente los tres procesos sin necesidad de ninguna acción extra). * Herramienta de limpieza automática: Descargue y ejecute esta herramienta de NOD32 en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla. http://www.vsantivirus.com/sober-k.htm Herramienta de limpieza (c) Future Time Srl * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre todos los archivos detectados como infectados. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre la carpeta WIN32: c:\windows\msagent\WIN32 Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y borre la siguiente entrada: _winsystem.sys = c:\windows\msagent\win32\smss.exe 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y borre la siguiente entrada: winsystem.sys = c:\windows\msagent\win32\smss.exe 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Publicado anteriormente: VSantivirus No. 1690 Año 9, lunes 21 de febrero de 2005 * Actualizaciones: 21/02/05 - 12:26 -0200 (Ampliación de la descripción) 21/02/05 - 12:26 -0200 (Descripción de mensajes) 21/02/05 - 12:26 -0200 (Alias: Sober.M) 21/02/05 - 12:26 -0200 (Alias: W32/Sober.l@MM) 21/02/05 - 12:26 -0200 (Alias: W32/Sober.M.worm) 21/02/05 - 12:26 -0200 (Alias: WORM_SOBER.K) 21/02/05 - 17:28 -0200 (Herramienta de limpieza) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1691 Año 9, martes 22 de febrero de 2005