| Asunto: | VSantivirus No. 1765 Año 9, sábado 7 de mayo de 2005 | | Fecha: | Sabado, 7 de Mayo, 2005 13:08:39 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1765 Año 9, sábado 7 de mayo de 2005
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Hoax: Hidrocefalia (Falso pedido de solidaridad)
2 - La moda de implantarse chips de radio frecuencia
3 - W32/Mytob. Descripción genérica (versiones H a BY)
_____________________________________________________________
1 - Hoax: Hidrocefalia (Falso pedido de solidaridad)
_____________________________________________________________
http://www.vsantivirus.com/hoax-hidrocefalia.htm
Nombre: Niño que nació con una grave enfermedad
Tipo: Falso pedido de solidaridad
Alias: Hidrocefalia
Fecha: 2000/2005
Idioma: Español
Origen: Desconocido
Se trata de uno de tantos mensajes similares sobre niños que
sufren de alguna enfermedad, y requieren algún tipo de
intervención quirúrgica con urgencia.
El problema es que piden se reenvíe el mensaje a todos
nuestros conocidos, ya que por cada mensaje reenviado, un
proveedor de Internet va a entregar a la familia del pequeño,
determinada cantidad de dinero.
Más allá de que la historia del mensaje pueda o no ser falsa
(ver más detalles abajo), este tipo de mensajes solo colaboran
con el bolsillo de los spammers, únicos beneficiados al
conseguir cientos de direcciones que un mensaje así puede
capturar si procedemos a su reenvío, generalmente dejando toda
la lista de usuarios que ya ha reenviado el mismo.
Por otra parte, si una empresa va a donar algo para alguna
causa solidaria, es legítimo que lo haga a cambio de un lucro.
Cómo por ejemplo, donar todo lo recaudado con la venta de
algo. Pero, ¿qué sentido tiene donarlo a cambio de reenviar
mensajes electrónicos?. Además, no existe una forma de
controlar cuántos mensajes son reenviados para convertir esta
cantidad en la suma de dinero ofrecida.
Lo único seguro si reenvía este tipo de mensajes, es que
empezará a recibir correo basura que nunca solicitó. Además de
saturar casillas de correo y perder mucho de su valioso tiempo
borrando esos mensajes.
Si recibe un mensaje como éste o similar, sólo bórrelo, jamás
lo reenvíe...
--- Mensaje original (errores de ortografía incluidos) ---
En la vida hay ciertas cosas que son dificiles de superar. Un
hijo es la gran ilusión de un padre, quien desearia que le
pasara algo a un hijo? "yo no".
La historia que les presento a continuación es real. Mi nombre
es Rodolfo Nuñez y la foto que ven es la de mi hijo Luisito,
el nacio con una grave enfermedad llamada Hidrocefalia, la
unica forma de que mi hijo se salve es haciendole una
operacion carisima que la verdad no podemos costear.
Mi esposa y yo hemos luchado por cielo mar y tierra para
conseguir los medios necesarios para la operacion, hemos
hablado con el presidente de Prodigy y nos ha prometido que se
donarian 50 centavos por cada vez que este mail sea reenviado
ya que sera rastreado, ahora el favor que les pido es que por
favor tomense la molestaia de 5 minutitos y reenvien este mail
a sus contactos, por favor, nada les cuesta y ayuden a que un
niño tenga mejor calidad de vida. De antemano, Gracias.
--- Final del mensaje ---
* Análisis de este hoax en particular
El mensaje habla de una enfermedad que realmente existe, y
está descripta de la siguiente forma:
"El término hidrocefalia se deriva de las palabras griegas
"hidro" que significa agua y "céfalo" que significa cabeza.
Como indica su nombre, es una condición en la que la principal
característica es la acumulación excesiva de líquido en el
cerebro."
[...]
"En la infancia, la indicación más evidente de la hidrocefalia
es típicamente el rápido aumento de la circunferencia de la
cabeza o un tamaño de la cabeza extraordinariamente grande.
Otros síntomas pueden incluir vómitos, sueño, irritabilidad,
desvío de los ojos hacia abajo (llamado también "puesta de
sol") y convulsiones."
Más información:
http://www.ninds.nih.gov/disorders/spanish/la_hidrocefalia.htm
El tema aquí, es que la foto que acompaña al mensaje, ya ha
sido vista en otras ocasiones (las primeras en 2000 o
anteriormente). Su actual divulgación es solo un reenvío del
mismo mensaje (incluso se ha usado un simple "cortar y pegar",
ya que la frase "tomense la molestaia de 5 minutitos" (note el
error en "molestaia"), se reitera en todos los mensajes vistos
hasta ahora.
Y lo más importante (además del hecho de la falsa colaboración
de un proveedor de Internet a cambio del envío de mensajes),
es que no se ofrece en el texto ningún dato fidedigno de la
familia y del niño involucrado, a los efectos de contactarse
con estos, en el caso de que alguien realmente quiera
colaborar en su causa.
Por supuesto, tampoco el remitente es válido, y en el mejor de
los casos, es simplemente alguien inocente que se ha creído la
historia y la ha reenviado a otras personas.
En conclusión, reenviar este mensaje solo favorece al bolsillo
de los spammers.
Jamás reenvíe este tipo de mensaje. Sólo bórrelo de su bandeja
de entrada.
* Regla de tres simple para NO enviar correo no deseado
Cuando esté a punto de enviar un mensaje, hágase estas tres
preguntas:
1. ¿Escribió otra persona este mensaje?
2. ¿Está enviándolo a una lista larga de personas (listas y
foros incluidos)?
3. ¿Es un chiste, advertencia de cualquier clase que le llegó
por correo, una llamada de atención o una poesía?.
¡Si la respuesta es SI a cualquiera de ellas, NO lo envíe!
* Relacionados:
Hoax: Niño hospitalizado
http://www.vsantivirus.com/hoax-children-hospital.htm
Hoax: Ayuda a Cleto
http://www.vsantivirus.com/hoax-cleto.htm
Hoax: Chica desaparecida (SPAM)
http://www.vsantivirus.com/hoax-desaparecida.htm
Por favor... NO REENVIE este mensaje a sus conocidos
http://www.vsantivirus.com/hoax-spam.htm
Hoax: Donación de sangre (SPAM)
http://www.vsantivirus.com/hoax-donacion-sangre.htm
Hoax: Niño desaparecido (SPAM)
http://www.vsantivirus.com/hoax-desaparecido.htm
¡No reenvíe mensajes para ayudar a esta beba!
http://www.vsantivirus.com/hoax-carlson-beba.htm
Hoax: Transplante de corazón para beba de 8 meses
http://www.vsantivirus.com/hoax-beba-richmedia.htm
Lo mejor y lo peor en el mismo mail (Por los chicos)
http://www.vsantivirus.com/porloschicos.htm
Donación de alimentos es usado en robo electrónico
http://www.vsantivirus.com/hoax-carlson.htm
Cómo reconocer una verdadera cadena de solidaridad
http://www.rompecadenas.com.ar/cadena.htm
* Más hoaxes
Puede encontrar una lista de las falsas alarmas más comunes,
en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm, o
puede consultarnos a nuestra dirección e-mail:
videosoft@videosoft.net.uy cuando reciba uno de estos
mensajes.
Otros sitios en español donde siempre podrá encontrar
información debidamente investigada y comprobada:
http://www.virusattack.com.ar
http://www.rompecadenas.com.ar
http://www.alertaantivirus.es
http://www.enciclopediavirus.com
* En inglés:
http://kumite.com/myths/myths/
http://antivirus.about.com/compute/antivirus/library/blenhoax.htm
http://www.f-secure.com/hoaxes/hoax_new.shtml
http://www.symantec.com/avcenter/hoax.html
http://www.antivirus.com/vinfo/hoaxes/hoax.asp
http://vil.nai.com/VIL/hoaxes.asp
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - La moda de implantarse chips de radio frecuencia
_____________________________________________________________
http://www.vsantivirus.com/mm-implantes.htm
La moda de implantarse chips de radio frecuencia
Por Mercè Molist (*)
colaboradores@videosoft.net.uy
Ni 'piercing', ni escarificaciones. Lo último en modificación
del cuerpo es implantarse un chip RFID (Radio Frequency
IDentification), parecido al que se pone a perros y gatos.
Amal Graafstra, un informático de 28 años de Washington, ha
creado un weblog donde ofrece detalladas explicaciones, fotos
y un vídeo sobre la operación de implante de un chip RFID en
su mano izquierda.
El chip mide 12 por 2 milímetros y no contiene más información
que un número identificador de 8 dígitos. Graafstra ha
explicado a Ciberpais: "Hay gente que se está haciendo estos
implantes con propósitos artísticos y filosóficos. Yo lo he
hecho por diversión y porque quería explorar sus
posibilidades. Mi objetivo es entrar en mi casa, mi coche o mi
ordenador simplemente poniendo la mano en el tirador o el
teclado. Soy de esa clase de gente que siempre pierde las
llaves y pensé que ésta sería una solución".
El joven tiene su propia empresa, Morpheus Inc, que ofrece
servicios a diversos médicos. Comentó la idea del implante a
uno de ellos y éste se ofreció a realizar la operación: "Fue
muy simple. Desinfectó el chip y mi mano y me aplicó un
anestésico local. Insertó el chip entre la piel y el músculo.
En total, diez minutos". Graafstra muestra en su weblog fotos
y un vídeo de la operación y asegura: "No hay ningún peligro
para mi salud, estos chips están diseñados para eso, hace años
que se implantan en perros y gatos".
El radio de acción del chip no pasa de 5 centímetros, por lo
que el joven no ve peligro para su privacidad, en el sentido
de que alguien pueda detectarlo a distancia. Además, el
implante no lleva más información personal que un número,
necesario para que los lectores de RFID se comuniquen con él y
realicen las acciones oportunas. De momento, no hay casas u
ordenadores normales con sistemas que lean chips RFID, por lo
que el informático trabaja ahora en crear los programas para
su entorno.
"El uso de RFID acabará siendo normal, pero la gente siempre
podrá escoger entre implantarse el chip o llevarlo en una
tarjeta, como ya están haciendo miles de personas", explica.
La aparición de un estándar para RFID, que haga compatibles
los diversos sistemas, ayudará mucho, dice: "De momento, no
tiene sentido implantarse un chip como 'llave de acceso
universal' porque cada sistema es diferente y hay pocas
posibilidades de que tu implante funcione con todos".
A pesar de que los defensores de la privacidad no ven con
buenos ojos esta tecnología, cada vez hay más gente que se
apunta a experimentar con ella y comparte sus impresiones en
Internet. Recientemente nacía un nuevo foro, Tagged, dedicado
exclusivamente a quienes se han implantado o quieren
implantarse chips RFID.
Barcelona ha sido pionera en esta moda, nunca imaginada por
los fabricantes de RFID. El año pasado, la discoteca Baja
Beach anunciaba a sus clientes la posibilidad de implantarse
un chip que les permitiría evitar las colas de entrada, entrar
en el área de VIPs o no pagar inmediatamente las bebidas, que
se apuntarían en su cuenta. Algunos clubes de Australia ya han
copiado la idea.
El siguiente proyecto de Amal Graafstra es reemplazar su chip
por otro más potente: "El que tengo ahora es de sólo lectura,
lo que significa que no puedo guardar en él la información que
me apetezca. Además, no lleva ninguna característica de
seguridad, como por ejemplo criptografía. Quiero que el
próximo tenga estas cosas, para seguir experimentando".
* Relacionados
Weblog de Amal sobre RFID
http://www.amal.net/rfid.html
Fotos del implante
http://www.flickr.com/photos/28129213@N00/sets/181299
Vídeo del implante
http://amal.net/blog/links/20050324%20-%20RFID%20-%20IMGP0282.MOV
Foro Tagged
http://tagged.kaos.gen.nz/
(*) Copyleft 2005 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any medium, provided this notice is
preserved.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Mytob. Descripción genérica (versiones H a BY)
_____________________________________________________________
http://www.vsantivirus.com/mytob.htm
Nombre: W32/Mytob
Nombre NOD32: Win32/Mytob
Tipo: Gusano de Internet
Alias: [ver http://www.vsantivirus.com/mytob-alias.htm]
Fecha: varias
Plataforma: Windows 32-bit
Tamaño: varios
Puertos: TCP 445, 6667, 1000~65535
Última modificación: 7/may/05
Gusano basado en la familia de los MyDoom. Utiliza las
funcionalidades de un troyano del tipo BOT para propagarse
utilizando la vulnerabilidad LSASS.
Un BOT es un programa robot que actúa como un usuario y está
preparado para responder o actuar automáticamente ejecutando
ciertos comandos.
Cuando se ejecuta, el gusano se copia en el directorio del
sistema de Windows, que podría ser algunas de estas carpetas
(ver NOTA 1):
c:\windows\system32\
c:\windows\system\
c:\winnt\system32\
Para ello, utiliza alguno de los siguientes nombres (ver NOTA
2):
666.exe
abs.exe
bingoo.exe
bpool.exe
bps.exe
ccsrs.exe
coolbot.exe
EXPLORER.exe
hostdrvxp.exe
internet.exe
jusched32.exe
mcscn.exe
msdirectx.sys
msgmr.exe
msmgrxp.exe
msnmsgs.exe
nethell.exe
owned.exe
rnathchk.exe
shell.exe
smsrss.exe
stagmr.exe
svchost32.exe
sys32.exe
sysconf.exe
tagmr.exe
taskgamr.exe
taskgmgr.exe
taskgmr.exe
taskgmr32.exe
taskgmrr.exe
taskgmrs.exe
taskgmsr.exe
taskmgr.exe
taskmgr32.exe
taskmrg.exe
w1nt45k.exe
w32NTupdt.exe
wfdmgr.exe
win32.exe
windowsfirewall.exe
winsvc32.exe
winsystem.exe
xpfirewall.exe
También crea uno de los siguientes archivos en el raíz de C:
c:\666.exe
c:\hellmsn.exe
c:\sysrun.exe
c:\winsys.exe
c:\winsystem.exe
Al ejecutarse éste, crea a su vez algunos de los siguientes
archivos:
[directorio actual]\msdirectx.sys
c:\eminem vs 2pac.scr
c:\funny pic.scr
c:\funny_pic.scr
c:\my_photo2005.scr
c:\photo album.scr
c:\see_this!!.scr
c:\windows\system32\2pac.txt
c:\windows\system32\rox.txt
NOTA 1: El directorio del sistema de Windows puede variar de
acuerdo al sistema operativo instalado ("c:\windows\system32"
en Windows XP y Windows Server 2003, "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
La unidad de disco "C:" es solo un ejemplo, ya aunque por
defecto se instala en esa unidad, la misma puede ser cambiada
por el usuario.
NOTA 2: TASKMGR.EXE (Administrador de tareas de Windows), es
un archivo legítimo. La versión original se encuentra en la
carpeta "System32" de Windows. No borre dicho archivo por
equivocación al intentar borrar el que crea el virus. Note que
el nombre del archivo creado por el virus, posee un par de
letras intercambiadas (taskGMr en lugar de taskMGr), para
confundir y dificultar su identificación y eliminación manual.
NOTA 3: Al menos una versión del gusano, sobrescribe el
archivo TASKMGR.EXE original. En ese caso, reinstale Windows o
recupere dicho archivo según el siguiente procedimiento:
Cómo recuperar archivos borrados (98, Me, XP)
http://www.vsantivirus.com/faq-sfc.htm
Algunas versiones liberan un archivo de texto en el directorio
del sistema, con el siguiente contenido:
open 127.0.0.1 10089
user hell rulez
binary
get owned.exe
quit
El nombre del ejecutable (OWNED.EXE en el ejemplo) puede
variar.
Estas versiones utilizan un rootkit cuyo ejecutable es uno de
los .EXE instalados en el raíz de C:, por ejemplo
C:\WINSSYSTEM.EXE. En esos casos, otro archivo con extensión
.SYS en una carpeta al azar, suele ser parte de este elemento
(Ej: MSDIRECTX.SYS).
Los Rootkits son herramientas que permiten esconder
actividades intrusas dentro de un sistema, después de que un
intruso ha logrado penetrar en él. Además, proveen al atacante
de vías de acceso ocultas para utilizar nuevamente el sistema
en futuras oportunidades. El nombre Rootkit se origina a
partir de la idea de que quien lo utiliza puede acceder
fácilmente al nivel de root, o de administrador del sistema,
una vez la herramienta ha sido instalada.
El gusano modifica las siguientes ramas del registro para
asegurarse su ejecución automática en cada nuevo reinicio del
equipo infectado:
HKCU\Software\Microsoft\OLE
[valor] = [nombre]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[valor] = [nombre]
HKCU\System\CurrentControlSet\Control\Lsa
[valor] = [nombre]
HKLM\SOFTWARE\Microsoft\OLE
[valor] = [nombre]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[valor] = [nombre]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
[valor] = [nombre]
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
[valor] = [nombre]
Donde [valor] es uno de los siguientes nombres (siempre el
mismo en todos los casos):
A New Windows Updater
Active Bit Station
asdasd
HELLBOT3
Internet Services
LSA
Major Microsoft Windows Driver Boot loader
Mcafee Virus Protection
MSN MESSENGER
RealPlayer Ath Check
w1ntask
Win TaskLoader
WIN32
Windows Firewall
Windows Service XP
Windows Services
Windows Shell
Windows System Manager
Windows Systemnmg
Windows Tagmsnger
Windows Task Manager
Windows USB Service
WINDRUN
WINMGR
WINNTASK32
WINRUN
WINRUN z
WINTASK
WINTASK DLL
WINTASK DLL32
WINTASK32
WINTASKMANAGER
WINTASKMGR
WINTASKS
WksSVC
Y [nombre] es el camino y nombre del archivo del gusano.
Ejemplos:
HKCU\Software\Microsoft\OLE
WINRUN = c:\windows\system32\taskgmr.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WINRUN = c:\windows\system32\taskgmr.exe
[etc...]
El gusano se propaga por correo electrónico enviándose como
adjunto a todas las direcciones de email encontradas en
diferentes archivos de la máquina infectada. Para ello,
examina archivos con las siguientes extensiones:
*.*
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab
El gusano evita enviarse a aquellas direcciones cuyo nombre
contenga alguna de las siguientes cadenas:
.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
bat
berkeley
borlan
bsd
bugs
ca
certific
contact
example
fcn
feste
fido
foo.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the
unix
usenet
utgers.ed
webmaster
you
your
El gusano utiliza su propio motor SMTP para enviar los
mensajes. Para seleccionar el servidor, agrega al principio de
los dominios de las direcciones seleccionadas, una de las
siguientes cadenas:
gate.
mail.
mail1.
mx.
mx1.
mxs.
ns.
relay.
smtp.
Los mensajes enviados tienen las siguientes características:
De: [dirección falsa]
Puede utilizar direcciones creadas con alguno de los
siguientes nombres, más un dominio seleccionado al azar de las
direcciones recolectadas en la máquina infectada:
adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom
También puede agregar uno de los siguientes dominios:
aol.com
cia.gov
fbi.gov
hotmail.com
juno.com
msn.com
yahoo.com
Asunto: [varios, entre ellos alguno de los siguientes]
- [caracteres al azar]
- [vacío]
- Error
- ERROR
- God day
- Good day
- hello
- Hello
- HELLO
- Mail Delivery System
- MAIL DELIVERY SYSTEM
- Mail Transaction Failed
- MAIL TRANSACTION FAILED
- read it immediately
- READ IT IMMEDIATELY
- Server Report
- SERVER REPORT
- Status
- STATUS
- thanks!
- Thanks!
- THANKS!
Texto del mensaje: [varios, entre ellos alguno de los
siguientes]
[caracteres al azar]
[vacío]
Here are your banks documents.
Mail transaction failed. Partial message is available.
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
The message contains Unicode characters and [...]
The original message was included as an attachment.
This is a multi-part message in MIME format.
I have received your document. The corrected document
is attached.
Datos adjuntos: [uno de los siguientes]
[caracteres al azar].???
body.???
data.???
doc.???
document.???
file.???
message.???
readme.???
test.???
text.???
Donde "???" puede ser una de las siguientes extensiones:
.bat
.exe
.pif
.scr
.zip
En el caso de un archivo con extensión .ZIP, el mismo
contendrá el código del gusano con el mismo nombre y doble
extensión, donde la primer extensión será una de las
siguientes:
.doc
.htm
.html
.tmp
.txt
Ejemplos:
doc.txt.scr
file.html.exe
message.doc.pif
El gusano también puede propagarse explotando la
vulnerabilidad en el proceso LSASS (Local Security Authority
Subsystem), reparada por Microsoft en su parche MS04-011 (ver
"MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm). Para ello busca
equipos vulnerables en el puerto TCP 445. Son vulnerables
todas las computadoras bajo Windows XP o 2000, sin el parche
MS04-011 instalado y sin cortafuegos.
LSASS controla varias tareas de seguridad consideradas
críticas, incluyendo control de acceso y políticas de
dominios. Una de las interfaces MS-RPC asociada con el proceso
LSASS, contiene un desbordamiento de búfer que ocasiona un
volcado de pila, explotable en forma remota. La explotación de
este fallo, no requiere autenticación, y puede llegar a
comprometer a todo el sistema.
Los usuarios de Windows XP SP2 no están afectados por esta
vulnerabilidad.
El gusano crea un servidor FTP en un puerto TCP al azar entre
1000 al 65535.
El componente BOT se conecta por el puerto TCP 6667 a un canal
de IRC en un servidor determinado.
Un atacante podrá realizar las siguientes acciones (entre
otras posibles) en el equipo infectado:
- Descargar archivos
- Ejecutar archivos
- Borrar archivos
- Actualizarse a si mismo
- Obtener información del equipo infectado
Busca otras computadoras con los siguientes recursos
compartidos, y si las encuentra, intenta copiarse allí con
alguno de los nombres de archivos vistos antes:
Admin$
Admin$\system32
c$
c$\winnt\system32
d$
E$
e$
ipc$
ipc$\system32
lwc$
NETLOGON
print$
print$\system32
profile$
profiles$
SYSVOL
Si no puede conectarse a dichos recursos, utiliza funciones
del protocolo NetBEUI para intentar acceder, utilizando una
extensa lista de nombres de usuario y contraseñas incluidas en
su código.
Si la copia en el recurso remoto tiene éxito, el gusano podrá
ejecutarse allí como una tarea programada.
NOTA: No todas las versiones se propagan a través de redes
compartidas.
Algunas versiones también se pueden propagar a través del MSN
Messenger, enviándose a si mismo a todos los contactos del
programa, en mensajes como el siguiente (entre otros):
[dirección](E-mail Adress Not Verified) sends:
see_this!!.scr (51 KB)
Modifica el archivo HOSTS para que los siguientes sitios no
puedan ser accedidos desde una máquina infectada:
avp .com
ca .com
customer .symantec .com
dispatch .mcafee .com
download .mcafee .com
f-secure .com
kaspersky .com
liveupdate .symantec .com
liveupdate .symantecliveupdate .com
mast .mcafee .com
mcafee .com
my-etrust .com
nai .com
networkassociates .com
rads .mcafee .com
secure .nai .com
securityresponse .symantec .com
sophos .com
symantec .com
trendmicro .com
update .symantec .com
updates .symantec .com
us .mcafee .com
viruslist .com
viruslist .com
www .avp .com
www .ca .com
www .f-secure .com
www .kaspersky .com
www .mcafee .com
www .microsoft .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas
por el atacante remoto, pueden aplicarse cambios en el sistema
no contemplados en esta descripción genérica.
* IMPORTANTE:
Después de la limpieza, no conectar el equipo a Internet,
hasta instalar el parche para la vulnerabilidad LSASS (MS04-
011). Si es necesario, descargarlo antes de proceder al resto
de la limpieza, desde el siguiente enlace para instalarlo
posteriormente:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos (no todos ellos pueden estar presentes):
[directorio actual]\msdirectx.sys
c:\666.exe
c:\eminem vs 2pac.scr
c:\funny pic.scr
c:\funny_pic.scr
c:\hellmsn.exe
c:\my_photo2005.scr
c:\photo album.scr
c:\see_this!!.scr
c:\sysrun.exe
c:\winsys.exe
c:\winsystem.exe
c:\windows\system32\2pac.txt
c:\windows\system32\rox.txt
También borre del directorio del sistema de Windows (ver NOTA
1), cualquier archivo con alguno de los siguientes nombres
(ver NOTA 2):
666.exe
abs.exe
bingoo.exe
bpool.exe
bps.exe
ccsrs.exe
coolbot.exe
EXPLORER.exe
hostdrvxp.exe
internet.exe
jusched32.exe
mcscn.exe
msdirectx.sys
msgmr.exe
msmgrxp.exe
msnmsgs.exe
nethell.exe
owned.exe
rnathchk.exe
shell.exe
smsrss.exe
stagmr.exe
svchost32.exe
sys32.exe
sysconf.exe
tagmr.exe
taskgamr.exe
taskgmgr.exe
taskgmr.exe
taskgmr32.exe
taskgmrr.exe
taskgmrs.exe
taskgmsr.exe
taskmgr.exe
taskmgr32.exe
taskmrg.exe
w1nt45k.exe
w32NTupdt.exe
wfdmgr.exe
win32.exe
windowsfirewall.exe
winsvc32.exe
winsystem.exe
xpfirewall.exe
NOTA 1: El directorio del sistema de Windows puede variar de
acuerdo al sistema operativo instalado ("c:\windows\system32"
en Windows XP y Windows Server 2003, "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
La unidad de disco "C:" es solo un ejemplo, ya aunque por
defecto se instala en esa unidad, la misma puede ser cambiada
por el usuario.
NOTA 2: TASKMGR.EXE (Administrador de tareas de Windows), es
un archivo legítimo. La versión original se encuentra en la
carpeta "System32" de Windows. No borre dicho archivo por
equivocación al intentar borrar el que crea el virus. Note que
el nombre del archivo creado por el virus, posee un par de
letras intercambiadas (taskGMr en lugar de taskMGr), para
confundir y dificultar su identificación y eliminación manual.
NOTA 3: Al menos una versión del gusano, sobrescribe el
archivo TASKMGR.EXE original. En ese caso, reinstale Windows o
recupere dicho archivo según el siguiente procedimiento:
Cómo recuperar archivos borrados (98, Me, XP)
http://www.vsantivirus.com/faq-sfc.htm
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\OLE
3. Haga clic en la carpeta "OLE" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las entradas que
aparezcan de la lista [valor] = [nombre] especificada
anteriormente.
4. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las entradas que
aparezcan de la lista [valor] = [nombre] especificada
anteriormente.
6. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\System
\CurrentControlSet
\Control
\Lsa
7. Haga clic en la carpeta "Lsa" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las entradas que
aparezcan de la lista [valor] = [nombre] especificada
anteriormente.
8. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\OLE
9. Haga clic en la carpeta "OLE" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las entradas que
aparezcan de la lista [valor] = [nombre] especificada
anteriormente.
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
11. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las entradas que
aparezcan de la lista [valor] = [nombre] especificada
anteriormente.
12. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
13. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre las entradas
que aparezcan de la lista [valor] = [nombre] especificada
anteriormente.
14. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
15. Haga clic en la carpeta "Lsa" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las entradas que
aparezcan de esta lista.
16. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que
modifique el archivo HOSTS para protegerlo de ciertos
parásitos, vuelva a ejecutar ese programa para actualizar el
archivo HOSTS con dicha información.
6. Reinicie su computadora.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
* Otras descripciones:
W32/Mytob.A. Se propaga por e-mail, utiliza LSASS
http://www.vsantivirus.com/mytob-a.htm
W32/Mytob.B. Se propaga por e-mail, utiliza LSASS
http://www.vsantivirus.com/mytob-b.htm
W32/Mytob.C. Se propaga por e-mail, utiliza LSASS
http://www.vsantivirus.com/mytob-c.htm
W32/Mytob.D. Se propaga por e-mail, utiliza LSASS
http://www.vsantivirus.com/mytob-d.htm
W32/Mytob.E. Se propaga por e-mail, utiliza LSASS
http://www.vsantivirus.com/mytob-e.htm
W32/Mytob.F. Se propaga por e-mail, utiliza LSASS
http://www.vsantivirus.com/mytob-f.htm
W32/Mytob.G. Se propaga por e-mail, utiliza LSASS
http://www.vsantivirus.com/mytob-g.htm
* Publicado anteriormente:
VSantivirus No. 1714 Año 9, jueves 17 de marzo de 2005
VSantivirus No. 1724 Año 9, domingo 27 de marzo de 2005
VSantivirus No. 1725 Año 9, lunes 28 de marzo de 2005
VSantivirus No. 1727 Año 9, miércoles 30 de marzo de 2005
VSantivirus No. 1733 Año 9, martes 5 de abril de 2005
VSantivirus No. 1734 Año 9, miércoles 6 de abril de 2005
VSantivirus No. 1737 Año 9, sábado 9 de abril de 2005
VSantivirus No. 1739 Año 9, lunes 11 de abril de 2005
VSantivirus No. 1740 Año 9, martes 12 de abril de 2005
VSantivirus No. 1741 Año 9, miércoles 13 de abril de 2005
VSantivirus No. 1742 Año 9, jueves 14 de abril de 2005
VSantivirus No. 1748 Año 9, miércoles 20 de abril de 2005
VSantivirus No. 1749 Año 9, jueves 21 de abril de 2005
VSantivirus No. 1753 Año 9, lunes 25 de abril de 2005
VSantivirus No. 1760 Año 9, lunes 2 de mayo de 2005
* Actualizaciones:
21/03/05 - 18:26 -0200 (Cambio de nombre)
27/03/05 - 14:55 -0300 (Descripción para todas las versiones)
28/03/05 - 19:24 -0300 (Actualización para Win32/Mytob.N)
30/03/05 - 07:06 -0300 (Actualización para Win32/Mytob.O)
30/03/05 - 07:07 -0300 (Actualización para Win32/Mytob.P)
30/03/05 - 07:08 -0300 (Actualización para Win32/Mytob.Q)
04/04/05 - 18:08 -0300 (Actualización para Win32/Mytob.R)
04/04/05 - 18:58 -0300 (Actualización para Win32/Mytob.S)
05/04/05 - 10:17 -0300 (Actualización para Win32/Mytob.T)
05/04/05 - 15:34 -0300 (Actualización para Win32/Mytob.U)
05/04/05 - 15:34 -0300 (Actualización para Win32/Mytob.V)
09/04/05 - 06:38 -0300 (Actualización para Win32/Mytob.W)
09/04/05 - 06:38 -0300 (Actualización para Win32/Mytob.X)
09/04/05 - 11:16 -0300 (Actualización para Win32/Mytob.Y)
10/04/05 - 18:06 -0300 (Actualización para Win32/Mytob.Z)
10/04/05 - 18:06 -0300 (Actualización para Win32/Mytob.AA)
10/04/05 - 18:06 -0300 (Actualización para Win32/Mytob.AB)
10/04/05 - 18:06 -0300 (Actualización para Win32/Mytob.AC)
11/04/05 - 02:44 -0300 (Actualización para Win32/Mytob.AD)
11/04/05 - 11:50 -0300 (Actualización para Win32/Mytob.AE)
11/04/05 - 18:23 -0300 (Actualización para Win32/Mytob.AF)
11/04/05 - 18:23 -0300 (Actualización para Win32/Mytob.AG)
11/04/05 - 18:24 -0300 (Actualización para Win32/Mytob.AH)
11/04/05 - 18:24 -0300 (Actualización para Win32/Mytob.AI)
11/04/05 - 18:25 -0300 (Actualización para Win32/Mytob.AJ)
11/04/05 - 18:25 -0300 (Actualización para Win32/Mytob.AK)
11/04/05 - 18:25 -0300 (Actualización para Win32/Mytob.AL)
12/04/05 - 07:00 -0300 (Nuevos alias)
12/04/05 - 19:16 -0300 (Actualización para Win32/Mytob.AM)
12/04/05 - 19:16 -0300 (Actualización para Win32/Mytob.AN)
12/04/05 - 19:16 -0300 (Actualización para Win32/Mytob.AO)
12/04/05 - 19:38 -0300 (Descripción variantes con rootkit)
12/04/05 - 19:40 -0300 (Nuevos alias)
13/04/05 - 04:42 -0300 (Nuevos alias)
14/04/05 - 06:34 -0300 (Actualización para Win32/Mytob.AP)
14/04/05 - 06:34 -0300 (Actualización para Win32/Mytob.AQ)
14/04/05 - 06:34 -0300 (Nuevos alias)
14/04/05 - 09:09 -0300 (Actualización para Win32/Mytob.AR)
18/04/05 - 20:55 -0300 (Nuevos alias)
18/04/05 - 21:11 -0300 (Actualización para Win32/Mytob.AS)
18/04/05 - 21:11 -0300 (Actualización para Win32/Mytob.AT)
18/04/05 - 21:11 -0300 (Actualización para Win32/Mytob.AU)
18/04/05 - 21:11 -0300 (Actualización para Win32/Mytob.AV)
20/04/05 - 07:38 -0300 (Actualización para Win32/Mytob.AW)
20/04/05 - 22:35 -0300 (Nuevos alias)
20/04/05 - 22:40 -0300 (Actualización para versiones AW a BF)
21/04/05 - 08:35 -0300 (Modificaciones en la descripción)
21/04/05 - 08:35 -0300 (Nuevos alias)
21/04/05 - 19:02 -0300 (Nuevos alias)
21/04/05 - 19:02 -0300 (Actualización para versiones BG y BH)
21/04/05 - 08:35 -0300 (Modificaciones en la descripción)
21/04/05 - 08:35 -0300 (Nuevos alias)
25/04/05 - 09:08 -0300 (Nuevos alias)
25/04/05 - 09:11 -0300 (Actualización para Win32/Mytob.BI)
25/04/05 - 09:15 -0300 (Modificaciones en la descripción)
25/04/05 - 11:15 -0300 (Nuevos alias)
25/04/05 - 20:10 -0300 (Modificaciones en la descripción)
25/04/05 - 20:40 -0300 (Nuevos alias)
26/04/05 - 19:19 -0300 (Nuevos alias)
26/04/05 - 20:26 -0300 (Nuevos alias)
27/04/05 - 20:04 -0300 (Actualización para versiones BJ a BN)
28/04/05 - 07:48 -0300 (Nuevos alias)
28/04/05 - 12:36 -0300 (Nuevos alias)
28/04/05 - 20:15 -0300 (Actualización para versiones BO y BP)
28/04/05 - 20:15 -0300 (Nuevos alias)
30/04/05 - 12:03 -0300 (Nuevos alias)
30/04/05 - 12:40 -0300 (Actualización para versiones BR y BS)
30/04/05 - 20:48 -0300 (Actualización para Win32/Mytob.BT)
02/05/05 - 11:01 -0300 (Nuevos alias)
02/05/05 - 11:02 -0300 (Modificaciones en la descripción)
02/05/05 - 11:30 -0300 (Nuevos alias)
03/05/05 - 22:12 -0300 (Nuevos alias)
03/05/05 - 22:13 -0300 (Modificaciones en la descripción)
03/05/05 - 22:13 -0300 (Actualización para Win32/Mytob.BU)
04/05/05 - 20:48 -0300 (Nuevos alias)
04/05/05 - 20:49 -0300 (Actualización para Win32/Mytob.BV)
05/05/05 - 18:50 -0300 (Nuevos alias)
05/05/05 - 18:50 -0300 (Actualización versiones BW, BX y BY)
05/05/05 - 18:52 -0300 (Modificaciones en la descripción)
07/05/05 - 11:25 -0300 (Nuevos alias)
07/05/05 - 11:27 -0300 (Modificaciones en la descripción)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados, simplemente
ejecutamos esos antivirus en su opción de escaneo, sobre la
carpeta que contenga los archivos a revisar). Y por supuesto,
de nada vale usar algún antivirus si no lo mantenemos
actualizado con los upgrades, updates o add-ons
correspondientes. Actualmente, las actualizaciones de la
mayoría de los fabricantes son diarias. No existen los "virus
demasiados nuevos y sin antídotos", la reacción de las casas
de antivirus es inmediata en todos los casos. Pero mejor
pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga referencias
de seriedad, o que no sean medianamente conocidos. Y si se
bajan archivos, proceder como los archivos adjuntos. Copiarlos
a una carpeta y revisarlos con dos o tres antivirus
actualizados antes de optar por ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos el
permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo a
la política de Copyright adoptada por cada uno de ellos, y su
inclusión en nuestro boletín se rige por dichas políticas, sin
embargo, para su uso en otro medio, se deberá solicitar la
debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 1765 Año 9, sábado 7 de mayo de 2005
|
VSantivirus No. 17
Responder a este mensaje
