Mostrando mensaje 759     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1709 Año 9, sábado 12 de marzo de 2005 Fecha: Sabado, 12 de Marzo, 2005  08:59:19 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1709 Año 9, sábado 12 de marzo de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Spyware que infecta al Internet Explorer y al Firefox 2 - El phishing en alza (Por Andrew J. Lee) 3 - W32/VB.NBN. Se propaga por MSN Messenger _____________________________________________________________ 1 - Spyware que infecta al Internet Explorer y al Firefox _____________________________________________________________ http://www.vsantivirus.com/12-03-05.htm Spyware que infecta al Internet Explorer y al Firefox Por Jose Luis Lopez videosoft@videosoft.net.uy Se ha conocido la existencia de código malicioso capaz de instalar spywares y adwares, a pesar de las protecciones conocidas contra este tipo de parásitos, y que además, no solo afecta al Internet Explorer, sino también a navegadores alternativos que hasta ahora parecían "estar a salvo". Según una firma de investigadores de seguridad (Vitalsecurity.org), el instalador del malware, un applet de Java, es capaz de trabajar en un gran rango de navegadores con tal que los mismos tengan soporte para Java habilitado. Esto no solo incluye al Internet Explorer, sino también al Firefox, Mozilla, Netscape y otros. Según las primeras pruebas realizadas, solo el Opera y NetCaptor (un navegador menos conocido), fueron inmunes a la instalación de esta clase de parásitos. Sin embargo, según Daniel Veditz, jefe del equipo de seguridad de Mozilla, "no será muy difícil hacer que también funcione en dichos navegadores". En las pruebas llevadas a cabo, los navegadores que fueron atacados con esta técnica, se infectaron con una gran variedad de spyware, incluyendo Internet Optimizer, 180 Solutions y Avenue Media. El malware parece no instalarse automáticamente la primera vez, pero las ventanas generadas pueden confundir a un usuario común, y obligarlo a hacer clic donde no debe, de modo que el software termine instalándose de todos modos. El código puede estar disfrazado como algún tipo de protección anti-spyware ofrecida en algunos sitios maliciosos, haciéndole creer al usuario que después de su instalación su máquina se verá protegida, cuando en realidad la dejará convertida en un verdadero "queso gruyere", por la cantidad de agujeros que creará, los que no solo serán utilizados para llevar a cabo un verdadero bombardeo de spam y de ventanas de publicidad no deseadas, sino también para la descarga de nuevos adwares y spywares. Se ha reportado que las incidencias de esta clase de malwares, han aumentado en los primeros tres meses del año, en un 15 por ciento comparado con los últimos tres meses de 2004. Hasta ahora los autores de spyware se habían limitado a explotar las vulnerabilidades del Internet Explorer, pero a medida que los navegadores alternativos son más utilizados, han empezado a buscar técnicas para explotar también a estos en su provecho, lo que parece materializarse a partir de la aparición de códigos como el ahora mencionado. El aumento de las debilidades detectadas en el Firefox, y su posibilidad de ser explotadas cada vez más fácilmente, según opinan algunos expertos basándose en la tendencia mostrada en los primeros tres meses del año, hacen que el argumento de que el Firefox es "a prueba de balas", con el que muchos usuarios fueron convencidos a la hora de elegir "otro navegador más seguro que el Internet Explorer", ya no sea uno de los principales puntos a su favor. Cada vez es más notorio que tanto el Firefox como otros navegadores usados como alternativa al IE, ya están en la mira de muchos piratas informáticos que empiezan a buscar, cada vez de forma más notoria, sus vulnerabilidades... y a explotarlas. Lo más importante en todo esto, y sin importar que software se utilice, es ser conciente que ningún programa será nunca a prueba de todo, y que la seguridad siempre va a depender de nuestra conducta y sentido común a la hora de navegar. * Relacionados: Gartner invita a la mesura respecto a Firefox http://www.vsantivirus.com/ev-14-02-05.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - El phishing en alza (Por Andrew J. Lee) _____________________________________________________________ http://www.vsantivirus.com/ajl-phishing.htm El phishing en alza Por Andrew J. Lee, CTO de Eset LLC. (*) http://www.nod32-la.com/ Durante los últimos dos años, ha sido notorio el enorme incremento del phishing, el cuál usualmente toma la forma de un mensaje de correo electrónico falsificado, enviado masivamente por hackers criminales, aparentando ser un mensaje de un banco o entidad financiera. Estos engaños intentan hacer que los destinatarios divulguen sus números de tarjetas de crédito, información de sus cuentas bancarias y otros detalles personales. Los mensajes son muy profesionales y realmente parecen haber sido enviados por un banco, una institución financiera o un ISP (Proveedor de Servicios de Internet). Usualmente demandan que los destinatarios hagan clic sobre un enlace, mientras el texto del mensaje incita a los usuarios afectados a que realicen una determinada acción solicitada. Uno de los temas de esta clase de mensajes, suele estar relacionado con algún problema en la cuenta bancaria del destinatario, solicitándose al mismo que por razones de seguridad deberá seguir los procedimientos indicados, al fin de asegurarse de que su cuenta en Internet continúe funcionando correctamente. Después de seguir el enlace, las victimas son redireccionadas a un sitio fraudulento, que luce exactamente igual que el original, y donde se le solicita el ingreso de información personal. Estas falsificaciones confían en poder engañar al destinatario, usando técnicas denominadas "de ingeniería social", a los efectos que éste haga clic sobre el enlace indicado y luego complete un formulario con los datos requeridos. Existe una larga variedad de esta clase de engaños, los cuáles imitan a conocidos bancos e instituciones. Los grupos de delincuentes que se esconden detrás del phish, obtienen luego grandes ganancias con la información que consiguen de sus victimas. Aunque esta clase de correo electrónico no suele involucrar un software malicioso tradicional -por ejemplo, no hay normalmente ningún archivo adjunto que contenga virus-, NOD32, el sistema antivirus de Eset, tiene la habilidad de detectarlos. Por este motivo, Virus-Radar.com lo muestra en sus estadísticas, siendo muy notorio últimamente que este tipo específico de fraude es particularmente frecuente. Recientemente, dos de estos correos electrónicos fraudulentos han estado dentro de la lista de los primeros diez códigos maliciosos de Virus-Radar.com, ambos asociados a fraudes relacionados con entidades bancarias y/o financieras. Esto demuestra que este tipo de crimen suele ser muy exitoso para los autores del phishing, cuya incidencia está en alza. El proyecto de Virus-Radar fue originalmente creado para reportar los virus que afectaban los correos electrónicos, pero en el tiempo que el sistema ha estado funcionando, se ha podido comprobar que su utilidad puede ir mucho más lejos, detectando también correos electrónicos clasificados como phishing. Aunque en un principio los primeros mensajes de phishing estaban dedicados a usuarios angloparlantes, ya es común detectar estos casos en muchos otros idiomas. Por ejemplo, desde mayo de 2003, se conocen casos de mensajes que dicen provenir del reconocido banco español BBVA (Banco Bilbao Vizcaya Argentaria), cuando en realidad se tratan de engaños utilizados por criminales. La cantidad de estos mensajes ha aumentado notoriamente durante el pasado 2004. La mejor manera de evitar estos engaños es estar seguro de abrir una nueva sesión del navegador cuando uno ingresa a las páginas de estos bancos, y sobre todo nunca seguir los enlaces directamente haciendo clic en los correos electrónicos. Por otra parte, su banco nunca preguntará por detalles personales y contraseñas a través de un correo electrónico. UD. puede estar atento al último software malicioso en www.virus-radar.com * Andrew J. Lee, es el CTO (director de tecnología) de Eset y NOD32. Video Soft, empresa creadora del sitio VSAntivirus, representa en Uruguay al antivirus NOD32 (marca registrada de Eset). Más información: http://www.nod32.com.uy/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/VB.NBN. Se propaga por MSN Messenger _____________________________________________________________ http://www.vsantivirus.com/vb-nbn.htm Nombre: W32/VB.NBN Nombre NOD32: Win32/VB.NBN Tipo: Gusano de Internet Alias: VB.NBN, Kelvir.E, Backdoor.Ircbot.BY, Backdoor.Win32.IRCBot.Y, Backdoor.Win32.IRCBot.y, Backdoor.Win32.Wootbot.bb, IM-Worm.Win32.Bropia.n, IRC/BackDoor.SdBot.152.M, MSNSmall.A, NewHeur_PE, Trojan.Wootbot-183, W32.Kelvir.D, W32.Kelvir.E, W32/Bropia.AA.worm, W32/Bropia.AD.worm, W32/Bropia.L, W32/Bropia.O, W32/Bropia.X.worm, W32/Kelvir.F-net, W32/Kelvir.worm.f, W32/Rbot-WX, W32/Sdbot.worm.gen.h, Win32.Bropia.T, Win32.HLLW.Kelvin, Win32.HLLW.MyBot, Win32.Worm.Bropia.N, Win32/Bropia.5738!Worm, Win32/VB.NBN, Worm.Bropia.N-2, Worm/Bropia.N, Worm/IRCBot.36254, Worm/VB.4.S, WORM_RBOT.ASL Fecha: 10/mar/05 Plataforma: Windows 32-bit Tamaño: 5,738 bytes (Upack) Gusano que se propaga por MSN Messenger a todos los contactos en línea. Este mecanismo requiere que el usuario tenga una sesión abierta del Messenger para que ello ocurra. El gusano muestra un mensaje con el siguiente enlace para descargar un archivo: http: //[dirección]/hottt.pif El usuario que recibe y acepta este mensaje, debe pinchar en el enlace para descargar el archivo, que es el gusano propiamente dicho. El nombre de este archivo suele ser HOTTT.PIF, y en realidad se trata de un RAR autoextraíble. Cuando se ejecuta (doble clic), libera los siguientes archivos en la carpeta actual: Link.exe buddie.exe BUDDIE.EXE es un troyano del tipo BOT y LINK.EXE es una copia del propio gusano. Después ejecuta a LINK.EXE. Este componente intenta enviar un mensaje similar al ya visto, con el propio gusano como archivo adjunto, a otros contactos en línea. También copia a BUDDIE.EXE como LSASSX.EXE en la carpeta del sistema: c:\windows\system32\lsassx.exe Este archivo tendrá los atributos de oculto (+H), solo lectura (+R) y del sistema (+S). Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\OLE Windows Taskmanager = "lsassx.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run Windows Taskmanager = "lsassx.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Windows Taskmanager = "lsassx.exe" Note que el propio gusano (el recibido vía MSN) no tiene mecanismos de autoejecución. Solo se propaga a otros usuarios (contactos) del MSN Messenger. El que se autoejecuta en cada reinicio es el troyano que es liberado por el gusano si se dan las condiciones mencionadas antes. Si el troyano BOT no es creado, tampoco se crearán las claves mencionadas del registro. El gusano, también intenta explotar las vulnerabilidades RPC/DCOM y LSASS de Windows para propagarse. * Reparación manual * IMPORTANTE: Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces: MS03-039 Ejecución de código en servicio RPCSS (824146) http://www.vsantivirus.com/vulms03-039.htm MS04-011 Actualización crítica (LSASS) (835732) http://www.vsantivirus.com/vulms04-011.htm * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre el siguiente archivo: c:\windows\system32\lsassx.exe Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota 1: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. Nota 2: Si el troyano BOT no es creado, tampoco se crearán las claves mencionadas del registro. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \OLE 3. Haga clic en la carpeta "OLE" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Taskmanager = "lsassx.exe" 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Taskmanager = "lsassx.exe" 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Taskmanager = "lsassx.exe" 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1709 Año 9, sábado 12 de marzo de 2005