Mostrando mensaje 92     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1043 Año 7, Viernes 16 de mayo de 2003 Fecha: Viernes, 16 de Mayo, 2003  11:44:19 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1043 Año 7, Viernes 16 de mayo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - El gusano Fizzer puede colgar su PC 2 - Linux vulnerable a ataques DoS por falla del Kernel 3 - Un viejo truco de ingeniería social 4 - W32/Lovgate.M. Gusano, troyano, virus 5 - Herramienta para todas las versiones de Lovgate 6 - ¡Hoy, último sorteo para ganarse un NOD32 gratis! _____________________________________________________________ 1 - El gusano Fizzer puede colgar su PC _____________________________________________________________ http://www.vsantivirus.com/ar-16-05-03.htm El gusano Fizzer puede colgar su PC Por Angela Ruiz angela@videosoft.net.uy Según informa el fabricante de antivirus Sophos, el gusano Fizzer podría ser su propio enemigo, al provocar cuelgues en el reinicio de una computadora infectada. Este gusano ha sido reportado ampliamente en los últimos días, figurando actualmente, en el segundo puesto con casi 1,200 infecciones, pero lejos todavía de las casi 8,300 del Klez.H, según la lista de virus más extendidos de las últimas 24 horas proporcionada por el Centro de Alerta Temprana de España. Sin embargo, un fallo en su código, podría hacer que finalmente, el nivel de incidencias sea menor de lo esperado, aún cuando para muchos ISP (Internet Service Provider), el volumen de mensajes infectados comienza a ser preocupante. Fizzer, se reenvía masivamente a través del correo electrónico y afecta a todas las versiones del sistema operativo Windows. Captura todo lo tecleado por su víctima, y lo guarda en un archivo que luego puede ser descargado por un intruso. Además, puede finalizar procesos correspondientes a conocidos antivirus, dejando desprotegida a la computadora ante el ataque de otros virus y gusanos. También permite que un atacante tome el control de la computadora infectada. Justamente por esta última característica mencionada, algunos servidores de IRC están sufriendo también las consecuencias del uso masivo de este gusano, capaz de conectarse por medio de BOTS, usuarios creados por un programa, en este caso por el propio Fizzer, con la intención de controlar otras computadoras. Redes con 100 o 250 conexiones simultáneas en circunstancias normales, han pasado a más de 1,000, todas provocadas por el virus. Para ejecutarse en cada reinicio de Windows en la máquina infectada, Fizzer, como lo hace la mayoría de los virus y gusanos, modifica el registro y libera varios archivos necesarios para su acción. Según informa Sophos, un error en algunos de estos archivos, puede hacer que simplemente la computadora se cuelgue al intentar reiniciarse. Esto lleva a que el usuario o el técnico encargado de detectar el problema, tenga más oportunidades de descubrir al virus y eliminarlo. Por supuesto, tener antivirus actualizados, y no ejecutar ningún archivo no solicitado, disminuyen las posibilidades de infectarse con el Fizzer, o con la mayoría de los gusanos y virus conocidos. Fizzer presenta reportes de propagación muy dispares. En América del Sur no llega a niveles preocupantes, al mismo tiempo que el fabricante de origen asiático Trend Micro lo retiró de su tabla de alertas. Pero otros, como F-Secure, aumentan sus niveles de advertencia al máximo. MessageLabs, empresa que brinda filtrado de correo a sus clientes para eliminar todo tipo de código maligno, incluido SPAM, detecta un aumento de mensajes infectados que supera ampliamente a los generados por el Klez.H, y tan solo en las últimas 24 horas. En nuestro sitio, encontrará toda la información sobre el Fizzer, así como enlaces a las herramientas de desinfección específicas para este gusano, creadas por los fabricantes de antivirus BitDefender, Panda, Symantec y F-Secure. * Más información: W32/Fizzer.A. Usa correo e IRC, finaliza antivirus http://www.vsantivirus.com/fizzer-a.htm El gusano Fizzer aumenta su nivel de incidencias http://www.vsantivirus.com/ev-13-05-03.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Linux vulnerable a ataques DoS por falla del Kernel _____________________________________________________________ http://www.vsantivirus.com/vul-linux-kernel-dos.htm Linux vulnerable a ataques DoS por falla del Kernel Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Expertos de seguridad advirtieron el jueves sobre una vulnerabilidad en el Kernel 2.4 de Linux, que puede ser explotado para causar un ataque de denegación de servicio. El Kernel o corazón de un sistema operativo, es el encargado de las funciones básicas del mismo. La falla se produce en la forma en que el Kernel de Linux maneja el caché de la información ruteada. La información fue aportada por la empresa consultora de seguridad de origen británico, Secunia. Inundando un sistema Linux con paquetes con direcciones falsas, el manejo de la "hash table" (se usa para rearmar los trozos en que se dividen los paquetes al transmitirlos por la red), puede consumir grandes cantidades de recursos del procesador. Secunia cataloga el fallo como moderadamente crítico, y advirtió que podría ser explotado para dejar fuera de línea a un sistema Linux, con una tasa de tan sólo 400 paquetes por segundo. Para ello es necesario utilizar direcciones falsas cuidadosamente seleccionadas para que las mismas causen colisiones al intentar volver a armar cada paquete. Red Hat, firma que domina el mercado para Linux, tiene disponible una actualización del Kernel para Red Hat Linux versiones 7.1 a la 9 inclusive. Red Hat informó que el agujero de seguridad causa que el Kernel llegue a usar una cantidad desmesurada de tiempos del procesador al intentar armar los paquetes, dando como resultando un ataque de denegación de servicio (D.o.S). La actualización de Red Hat soluciona otros problemas no relacionados con la seguridad. Una solución temporaria, podría ser filtrar el tráfico utilizando PREROUTING en lugar de INPUT en iptables, ya que PREROUTING actúa antes del caché de la tabla de rutas. Esto requiere un cambio menor en las reglas de filtrado. Sin embargo, Secunia advirtió que un ataque D.o.S podría igualmente realizarse si el sistema utiliza iptables (netfilter) para filtrar el tráfico, ya que es posible si se aumenta la cantidad de paquetes con direcciones IP al azar seleccionadas adecuadamente. Además de Red Hat, también son vulnerables SuSE, Mandrake, Slackware, Gentoo, Debian y Conectiva. Algunos analistas consideran que esta vulnerabilidad se presenta en un momento crítico para Linux, cuando IBM, Oracle y Red Hat trabajan junto a la comunidad de código abierto para que Linux pase el proceso de certificación denominado "Common Criteria" (CC). Esta certificación significaría para Linux un crucial e importante primer paso para obtener la aprobación comercial de clientes gubernamentales. El gobierno federal norteamericano requiere la certificación CC para aprobar cualquier producto tecnológico utilizado en sistemas de seguridad nacional en dicho país. * Relacionados: http://www.secunia.com/advisories/8786/ http://marc.theaimsgroup.com/?l=bk-commits-24&m=105217616607144&w=2 http://bugzilla.kernel.org/show_bug.cgi?id=703 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0244 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0246 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Un viejo truco de ingeniería social _____________________________________________________________ http://www.vsantivirus.com/mm-bbva-scam.html Un viejo truco de ingeniería social Nota VSA: el primer reporte sobre este fraude fue publicado por VSAntivirus.com, quien se puso inmediatamente en contacto con las autoridades del banco. La noticia del bulo llegó a VSA a través de un lector. En el artículo sobre el tema ["Alerta de SCAM con cuentas de BBVAnet", http://www.vsantivirus.com/scam-bbvanet.htm], pueden verse capturas de dicho sitio, aún activo en ese momento. * Simulan ser el BBVA para robar números de tarjetas, usando un viejo truco de ingeniería social Por Mercè Molist (*) colaboradores@videosoft.net.uy La semana pasada, un número indeterminado de personas recibía un correo electrónico no solicitado donde se les instaba a rellenar el formulario de una página web, para ser clientes del servicio BBVAnet. Datos personales, número de tarjeta de crédito, fecha de caducidad e incluso el PIN iban a parar a la base de datos de los atacantes, cuya identidad se desconoce. Es la primera vez que este truco de ingeniería social se utiliza contra una entidad bancaria española. El Banco Bilbao Vizcaya Argentaria actuó con celeridad y, a las 24 horas, la web fraudulenta y el sitio donde se recogían los datos estaban fuera de línea. La web mostraba el logo de BBVAnet y parecía oficial, aunque sorprendía la cantidad de datos que pedía. El mensaje no solicitado también levantaba suspicacias: empezaba con un "estimado cliente del BBVA", aunque lo recibieron no clientes, y seguía: "Le comunicamos que próximamente, usted no (sic) se podrá subscribir en Banca Online". Una errata, a juzgar por el contenido, que instaba a suscribirse a BBVAnet, mediante un formulario en http://gruposbbva.nstemp.com. La web estaba registrada en Estados Unidos, en la empresa Freeservers.com, que rápidamente la cerró. Según un experto consultado, "estaba todo hecho de forma profesional y con dedicación, ya que el código de la página que suplanta al BBVA está ofuscado. En vez de escribir el código HTML directo, está cifrado vía JavaScript y la construcción del formulario se hace en el navegador del usuario. Así, pueden saltarse los sistemas de filtrado de contenido y hace que el rastreo sea relativamente complicado". El origen del mensaje es igualmente oscuro: "Se ha enviado desde una conexión ADSL, pero viendo el nivel de complejidad de la página HTML, apostaría que se ha secuestrado una máquina con poca seguridad, para lanzar los mensajes. Me costaría mucho creer que se haya molestado tanto en ofuscar el código HTML y después utilizar para el envío una máquina fácilmente identificable y rastreable, que no disponía de ninguna medida de seguridad, ni las más básicas, permitiendo conexiones anónimas y remotas vía Internet a las unidades de disco compartidas", afirma el experto. El banco desconoce cuántos datos se obtuvieron ni si se han realizado operaciones con ellos. Aunque esta técnica de ingeniería social es conocida en los manuales, es la primera vez que se conoce su aplicación masiva suplantando a una entidad financiera española. Algo parecido sucedía a principios de mayo en Gran Bretaña, según publicaba "eWeek": "Se están enviando mensajes fraudulentos a los clientes de First Union, donde se les pide que visiten una web e introduzcan sus nombres de usuario y contraseñas. Sólo mirar la web ya trae problemas, porque instala automáticamente un troyano en la máquina del visitante. No está claro cómo el atacante ha tenido acceso a las direcciones de correo de los clientes del banco". La Ingeniería Social es el arte de hacer que otros hagan o digan lo que uno quiere, abusando de su confianza, inocencia o ganas de caer bien. El diccionario "Jargon File" habla de "técnicas que se aprovechan de las debilidades de las personas, con el objetivo de conseguir sus contraseñas u otra información. Un truco clásico es telefonear a la víctima diciendo que eres un técnico con un problema urgente". La Ingeniería Social usa desde hace tiempo las herramientas de la red, igual que el teléfono o el contacto directo. Uno de los trucos más comunes en el chat ha sido engañar a alguien para obtener sus datos de acceso a Internet y usarlos gratuitamente. La misma intención tienen el mensaje o la llamada de un presunto técnico del proveedor, que pide los datos de conexión para una comprobación rutinaria o porque se han perdido. "El método más fácil para conocer la contraseña de alguien es preguntándoselo", dicen los expertos. Recientemente, se hacía la prueba, patrocinada por InfoSecurity Europe 2003, en una estación central de Londres: nueve de cada diez oficinistas aceptaron revelar sus contraseñas a cambio de un bolígrafo. En su "Curso de Ingeniería Social", LeStEr ThE TeAcHeR explica cómo recopilar datos financieros: "Un caso que requiere una especial atención es la simulación de mails que provienen de servicios de banca por Internet. Como todo, son sencillamente suplantables. Basta con crear un mail en HTML utilizando las imágenes y los formatos de alguna de estas entidades, pero enviándolo desde cualquier otra cuenta. Conozco casos en los que un usuario recibe un mail que parece provenir de un banco conocido y que luego lo redirige a un formulario falso, en el que se le hace escribir su contraseña de acceso y ésta es guardada en una tabla, o enviada por mail a una dirección donde luego se utiliza de forma fraudulenta. A continuación, dicho usuario es enviado a la página real del banco, tras haber recibido una pantalla de error". Kevin Mitnick da cuenta también de este tipo de engaño en su libro "The art of deception", con un ejemplo real y muy parecido al fraude del BBVA: "Un día del verano de 2001, Edgar recibió un mensaje de PayPal, una compañía que permite hacer pagos rápidos por Internet y que Edgar usaba para hacer compras en eBay: "Apreciado cliente; Paypal quiere darle 5 dólares de crédito. Sólo tiene que ir a la página http://www.paypal-secure.com/cgi-bin y actualizar su información". Pero éste no fue el primer engaño bajo el nombre de PayPal. En enero del 2000, la compañía publicaba un aviso después que un correo masivo invitase a sus clientes a conectarse a www.paypai.com y dejar sus datos: "Hay muchos artistas del fraude que os enviarán correo pretendiendo ser vendedores o sitios con los que habéis tenido negocios en el pasado. No sólo Pay Pal, también EBay, AOL y otras compañías. Usualmente os darán una dirección web duplicada, con la dirección ligeramente diferente de la auténtica, y os pedirán que reveléis los datos de vuestras tarjetas de crédito, nombres de usuario o contraseñas". En marzo del 2002, le tocaba el turno a Visa, con un mensaje que cruzó el mundo: "Alerta de fraude. Visa USA Fraud Control ha sabido de la existencia de un engaño para obtener datos personales de nuestros clientes. Lamentamos comunicarle que hemos cancelado su tarjeta de crédito, de acuerdo con el artículo 205 del capítulo 210 del departamento de fraude internacional. Sospechamos que su tarjeta está implicada en actividades criminales. En los próximos dos días uno de nuestros investigadores contactará con usted por teléfono para verificar sus datos". Aunque, como dice Mitnick, "¿por qué dedicarse a robar los números de tarjetas uno por uno, cuando puedes entrar en la mayoría de compañías de comercio electrónico y coger todas sus bases de datos?". E-Mail Hoax Targets First Union Customers http://www.eweek.com/article2/0,3959,1068224,00.asp Office workers give away passwords for a cheap pen http://www.theregister.co.uk/content/55/30324.html Fraude de PayPal http://hoaxinfo.com/paypal.htm Fraude de AOL http://hoaxinfo.com/aolscam.htm Fraude de Visa http://hoaxinfo.com/creditfraud.htm CIAC scam chains http://hoaxbusters.ciac.org/HBScams.shtml#corruption Curso de Ingeniería Social http://lestertheteacher.cjb.net/ Breves conceptos sobre la Ingeniería Social http://virusattack.xnetwork.com.ar/articulos/VerArticulo.php3?idarticulo=4 Ingeniería social http://www.iec.csic.es/criptonomicon/articulos/expertos72.html Nociones de ingeniería social http://www6.gratisweb.com/disidents/ascii/ezine/nocionesis.html SANS. Social Engineering. What is it? http://rr.sans.org/social/social.php (*) Copyright (C) 2003 Mercè Molist. Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved. * Relacionados: Alerta de SCAM con cuentas de BBVAnet http://www.vsantivirus.com/scam-bbvanet.htm ¡Cuídese del fraude!. Ser víctimas de este SCAM es fácil http://www.vsantivirus.com/scam-aol.htm SCAM: Estafa a la nigeriana http://www.vsantivirus.com/scam-nigeria.htm Otro "scam" sobre Hotmail http://www.vsantivirus.com/scam-hotmail.htm SCAM que pone en peligro las cuentas de Hotmail http://www.vsantivirus.com/scam-hotmail2.htm Cuidado con los negocios y regalos por Internet http://www.vsantivirus.com/agr-scam.htm Alerta de SCAM con cuentas de BBVAnet http://www.vsantivirus.com/scam-bbvanet.htm Clientes de un banco engañados por SCAM con troyano http://www.vsantivirus.com/11-05-03.htm SCAM, SPAM, y los mercaderes de la muerte http://www.vsantivirus.com/16-09-01.htm Scam intenta engañar a usuarios de Microsoft http://www.vsantivirus.com/scam-helpdesk.htm Falso correo de Yahoo roba datos de tarjetas de crédito http://www.vsantivirus.com/scam-yahoo.htm SCAM: La estafa de "Vacaciones en Orlando" http://www.vsantivirus.com/scam-orlando.htm Dame el número de tu tarjeta y te pago las cuentas http://www.vsantivirus.com/ar-scam-paypal.htm Hoax: Falso mensaje que pide las contraseñas del MSN http://www.vsantivirus.com/scam-msn.htm Que el espíritu navideño no lo convierta en víctima http://www.vsantivirus.com/scam-ebay.htm Hoax: Usted es uno de nuestros ganadores http://www.vsantivirus.com/hoax-premio.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Lovgate.M. Gusano, troyano, virus _____________________________________________________________ http://www.vsantivirus.com/lovgate-m.htm Nombre: W32/Lovgate.M (L) Tipo: Gusano, caballo de Troya e infector de archivos Alias: W32/Lovgate.M, Lovgate.L Plataforma: Windows 32-bit Tamaño: 131,584 bytes Fecha: 16/may/03 Programado en Visual C++ y comprimido con la utilidad Aspack, este gusano se propaga vía e-mail y a través de recursos compartidos en redes, liberando en este último caso las siguientes copias de si mismo en las carpetas compartidas con acceso de lectura y escritura: 100 free essays school.pif Age of empires 2 crack.exe AN-YOU-SUCK-IT.txt.pif Are you looking for Love.doc.exe autoexec.bat CloneCD + crack.exe How To Hack Websites.exe Mafia Trainer!!!.exe MoviezChannelsInstaler.exe MSN Password Hacker and Stealer.exe Panda Titanium Crack.zip.exe Sex_For_You_Life.JPG.pif SIMS FullDownloader.zip.exe Star Wars II Movie Full Downloader.exe The world of lovers.txt.exe Winrar + crack.exe A través del correo electrónico, se envía a si mismo como respuesta automática a todo mensaje recibido por el usuario infectado en el Outlook y Outlook Express, con el siguiente mensaje: De: [nombre del usuario infectado] Para: Asunto: RE: [asunto original] Texto: "<nombre del usuario infectado>" wrote: ==== ><Mensaje original> > ==== [dominio del remitente] account auto-reply: If you can keep your head when all about you Are losing theirs and blaming it on you; If you can trust yourself when all men doubt you, But make allowance for their doubting too; If you can wait and not be tired by waiting, Or, being lied about,don't deal in lies, Or, being hated, don't give way to hating, And yet don't look too good, nor talk too wise; ... ... more look to the attachment. > Get your FREE [dominio del remitente] account now! < Como archivo adjunto, uno de los siguientes: Britney spears nude.exe.txt.exe Deutsch BloodPatch!.exe dreamweaver MX (crack).exe DSL Modem Uncapper.rar.exe How to Crack all gamez.exe I am For u.doc.exe Industry Giant II.exe joke.pif Macromedia Flash.scr Me_nude.AVI.pif s3msong.MP3.pif SETUP.EXE Sex in Office.rm.scr Shakira.zip.exe StarWars2 - CloneAttack.rm.scr the hardcore game-.pif El gusano también recoge direcciones de correo desde archivos .HTML que busca en el directorio actual y en las carpetas "Windows", y "Mis documentos", enviando un mensaje infectado consigo mismo, a todas dichas direcciones. El mensaje enviado puede ser cualquiera de los siguientes: Asunto: Reply to this! Texto: For further assistance, please contact! Datos adjuntos: About_Me.txt.pif Asunto: Let's Laugh Texto: Copy of your message, including all the headers is attached. Datos adjuntos: driver.exe Asunto: Last Update Texto: This is the last cumulative update. Datos adjuntos: Doom3 Preview!!!.exe Asunto: for you Texto: Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy) Datos adjuntos: enjoy.exe Asunto: Great Texto: Send reply if you want to be official beta tester. Datos adjuntos: YOU_are_FAT!.TXT.pif Asunto: Help Texto: This message was created automatically by mail delivery software (Exim). Datos adjuntos: Source.exe Asunto: Attached one Gift for u.. Texto: It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West). Datos adjuntos: Interesting.exe Asunto: Hi Texto: Adult content!!! Use with parental advisory. Datos adjuntos: README.TXT.pif Asunto: Hi Dear Texto: Patrick Ewing will give Knick fans something to cheer about Friday night. Datos adjuntos: images.pif Asunto: See the attachement Texto: Send me your comments... Datos adjuntos: Pics.ZIP.scr Cuando se instala por primera vez, el gusano crea los siguientes archivos: C:\Windows\System\Ask688.dll C:\Windows\System\Iexplore.exe C:\Windows\System\Ily668.dll C:\Windows\System\In32.tmp C:\Windows\System\In32vxd.dl C:\Windows\System\Inrpc.exe C:\Windows\System\Kernel66.dll C:\Windows\system\NetServices.exe C:\Windows\System\Ravmond.exe C:\Windows\System\Reg678.dll C:\Windows\System\Win32vxd.dll C:\Windows\System\WinDriver.exe C:\Windows\System\Winexe.exe C:\Windows\System\Wingate.exe C:\Windows\System\Winhelp.exe C:\Windows\System\winrpc.exe C:\Windows\111.dll C:\Windows\Drwtsn16.exe C:\Windows\ily668.dll C:\Windows\kernel66.dll En el directorio de temporales de Windows, crea los siguientes archivos: C:\Windows\TEMP\[XXXX].txt.exe C:\Windows\TEMP\[XXXX].jpg.exe C:\Windows\TEMP\[XXXX].rm.exe C:\Windows\TEMP\[XXXX].htm.exe C:\Windows\TEMP\[XXXX].dat.exe C:\Windows\TEMP\[XXXX].mp3.exe C:\Windows\TEMP\[XXXX].gif.exe C:\Windows\TEMP\[XXXX].doc.exe C:\Windows\TEMP\[XXXX].avi.exe Donde [XXXX] es un nombre aleatorio escrito con mayúsculas. En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Los archivos .DLL corresponden a los componentes troyanos del gusano. Se agrega al registro, creando las siguientes entradas. Esto le permite autoejecutarse cada vez que Windows se reinicie: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WinHelp = C:\Windows\System\WinHelp.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WinGate initialize = C:\Windows\System\WinGate.exe -remoteshell HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Remote Procedure Call Locator = RUNDLL32.EXE reg678.dll ondll_reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Program In Windows = C:\Windows\system32\IEXPLORE.EXE HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\ CurrentVersion\Windows run = RAVMOND.exe Además, Lovgate.M crea la siguiente clave para ejecutarse como un servicio: HKLM\SYSTEM\CurrentControlSet\Services\Windows Management Instrumentation Driver Extension ImagePath = C:\Windows\System\WinDriver.exe -start_server El componente troyano que se encuentra en los archivos .DLL, abre ciertos puertos e inmediatamente envía un mail de notificación a un usuario remoto, avisándole que la computadora infectada está conectada y puede ser accedida. Mediante comandos enviados por el intruso a través del puerto abierto, se puede obtener toda la información sensible de la computadora atacada, además de poder modificar la configuración del propio troyano. Puede crear hasta 10 hilos simultáneos, que intentan conectarse a otras máquinas remotas compartidas como IPC$ y lanzar entonces un ataque de fuerza bruta para poder acceder con nombre y usuario a las mismas. Para ello, utiliza una lista de contraseñas predefinidas. Si el ataque tiene éxito, copia el archivo "NetServices.exe" en la carpeta "\admin$\system32", y ejecuta dicho archivo como servicio con el nombre de "Microsoft NetWork FireWall Services". Luego cambia el archivo de inicio de Windows WIN.INI, alterando la entrada "Run" bajo la etiqueta "[windows]": [Windows] Run = [nombre del gusano] Otro componente, WIN32VXD.DLL, es utilizado para el robo de contraseñas, exportando la función "SetHook()" para localizar en todos los procesos abiertos que contengan "@" y "<>", la cadena "password" y "username". La información obtenida es enviada a una dirección de correo electrónico. Una vez activo en memoria, el gusano finaliza cualquier proceso que contenga una de las siguientes cadenas, con la intención de acabar con la ejecución de ciertos antivirus: Duba Gate KAV kill KV McAfee NAV RavMon.exe Rfw.exe rising SkyNet Symantec El gusano también puede infectar archivos .EXE en todas las unidades de disco duro, actuando como infector directo de archivos ejecutables de Windows. Los archivos infectados contienen tres componentes, el propio infector, el archivo original, y el cuerpo del gusano comprimido con la utilidad Aspack (el contenido de DRWTSN16.EXE). En cada infección, el virus queda "dormido" por una hora y 30 segundos, antes de continuar infectando otros archivos. Cuando se ejecutan, se crean procesos separados para el ejecutable "normal" y el gusano. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: C:\Windows\System\Ask688.dll C:\Windows\System\Iexplore.exe C:\Windows\System\Ily668.dll C:\Windows\System\In32.tmp C:\Windows\System\In32vxd.dl C:\Windows\System\Inrpc.exe C:\Windows\System\Kernel66.dll C:\Windows\system\NetServices.exe C:\Windows\System\Ravmond.exe C:\Windows\System\Reg678.dll C:\Windows\System\Win32vxd.dll C:\Windows\System\WinDriver.exe C:\Windows\System\Winexe.exe C:\Windows\System\Wingate.exe C:\Windows\System\Winhelp.exe C:\Windows\System\winrpc.exe C:\Windows\111.dll C:\Windows\Drwtsn16.exe C:\Windows\ily668.dll C:\Windows\kernel66.dll Borre todos estos archivos del directorio temporales de Windows: C:\Windows\TEMP\[XXXX].txt.exe C:\Windows\TEMP\[XXXX].jpg.exe C:\Windows\TEMP\[XXXX].rm.exe C:\Windows\TEMP\[XXXX].htm.exe C:\Windows\TEMP\[XXXX].dat.exe C:\Windows\TEMP\[XXXX].mp3.exe C:\Windows\TEMP\[XXXX].gif.exe C:\Windows\TEMP\[XXXX].doc.exe C:\Windows\TEMP\[XXXX].avi.exe Donde [XXXX] es un nombre aleatorio escrito con mayúsculas. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas: WinHelp WinGate initialize Remote Procedure Call Locator Program In Windows 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \WindowsNT \CurrentVersion \Windows 5. Pinche en la carpeta "Windows" y en el panel de la derecha busque y borre las siguientes entradas: run 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Editar el archivo WIN.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [Windows] Run = [nombre del gusano] Debe quedar como: [Windows] Run = 3. Grabe los cambios y salga del bloc de notas. 4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Herramienta para todas las versiones de Lovgate _____________________________________________________________ http://www.vsantivirus.com/util-antilovgate.htm Herramienta para todas las versiones de Lovgate Nombre: AntiLovGate-es.exe Tipo: Herramienta de reparación Fecha: 15/may/03 Fabricante: BitDefender BitDefender proporciona una herramienta gratuita de desinfección para todas las versiones del virus LovGate (de la C a la K). Descargue la utilidad "AntiLovGate-es.exe" (34 Kb) y ejecútela en su sistema: http://www.vsantivirus.com/util-antilovgate.htm Copyright (C) BitDefender 2003. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - ¡Hoy, último sorteo para ganarse un NOD32 gratis! _____________________________________________________________ Ya se entregaron cuatro licencias del antivirus Nod32. ¡La próxima puede ser la suya y aún tiene chance! ¡Hoy, último sorteo para ganarse un NOD32 gratis! El premio es ofrecido por Ontinet.com, distribuidor exclusivo en España del producto. Estos son los datos de los ganadores anteriores: * Cuarto ganador (9/may/03): - Primer premio lotería uruguaya viernes 9/may/03: 19522 http://www.loteria.gub.uy/loteria_20030425.htm - Ganador por aproximación (19649): Alejandro Muro Tapia (México) Formulario enviado el 7/04/2003 15:10 * Tercer ganador (25/abr/03): - Primer premio lotería uruguaya viernes 25/abr/04: 11654 http://www.loteria.gub.uy/loteria_20030425.htm - Ganador por aproximación (11659): Luis Parra (Chile) Formulario enviado el 7/04/2003 19:25 * Segundo ganador (11/abr/03): - Primer premio lotería uruguaya viernes 11/abr/04: 03469 http://www.loteria.gub.uy/loteria_20030411.htm - Ganador por aproximación (03400): Miguel Domínguez (España) Formulario enviado el 2/04/2003 15:43 * Primer ganador (4/abr/03): - Primer premio lotería uruguaya viernes 4/abr/04: 03665 http://www.loteria.gub.uy/loteria_20030404.htm - Ganador por aproximación (03655): David León Magaña (México) Formulario enviado el 2/04/2003 18:56 Hoy viernes 16 de mayo sorteamos la última licencia. * Formulario de inscripción 1. Para participar en dicho sorteo, y hacerse acreedor a una licencia del antivirus Nod32, si no lo ha hecho aún, ingrese su dirección electrónica, nombre y país en el formulario de la siguiente página: http://www.vsantivirus.com/sorteo.htm [Nota: Si ya tiene su número, y aún no ha sido favorecido, seguirá participando con dicho número, no debe volver a inscribirse] 2. En un plazo no mayor de 12 horas, recibirá un número generado al azar con el que participará del último sorteo. 3. Hoy viernes 16 de mayo, el número coincidente con las cifras finales del primer premio del sorteo semanal de la Lotería Uruguaya (http://www.loteria.gub.uy/default.htm), se hará acreedor de una licencia válida por un año de un paquete personal del Antivirus Nod32, cedido a VSAntivirus por Ontinet.com, S.L, distribuidor exclusivo en España del mismo. 4. En caso de no coincidir ningún número con el primer premio, se hará acreedor el más cercano al mismo y se publicará su nombre en nuestro sitio. Para evitar el SPAM, no se mostrará su dirección de correo completa. 5. El ganador será avisado de los pasos siguientes para hacerse de su premio. 6. Podrán participar todos los suscritos a nuestro boletín, y no se enviará más de un número por dirección suscrita. 7. Si la dirección electrónica utilizada no coincide con la de un usuario registrado, no será enviado ningún número para participar. Asegúrese de que la dirección es la misma que figura al pie de cada boletín, donde dice : "Este boletín es enviado a: [aquí va su dirección]" * Más información: Festejamos los 1000 regalando cinco licencias de Nod32 http://www.vsantivirus.com/sorteo-1000.htm Ya tiene dueño otra licencia de Nod32 http://www.vsantivirus.com/ganadores.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1043 Año 7, Viernes 16 de mayo de 2003