Mostrando mensaje 828     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1778 Año 9, viernes 20 de mayo de 2005 Fecha: Viernes, 20 de Mayo, 2005  02:40:22 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1778 Año 9, viernes 20 de mayo de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Microsoft quita importancia al fallo en TCP/IP 2 - Falso anuncio de parche acumulativo de Microsoft 3 - W32/Sober.P. Envía mensajes en inglés o alemán 4 - Adware/180Solutions. Monitorea búsquedas en Internet _____________________________________________________________ 1 - Microsoft quita importancia al fallo en TCP/IP _____________________________________________________________ http://www.vsantivirus.com/20-05-05b.htm Microsoft quita importancia al fallo en TCP/IP Por Angela Ruiz angela@videosoft.net.uy Este miércoles, Microsoft publicó uno de sus primeros avisos de seguridad denominados "Microsoft Security Advisories" (identificado como 899480), y que responde a informes de una vulnerabilidad en Windows que podría permitir ataques de denegación de servicio. En el aviso, Microsoft afirma que el problema ya fue arreglado con un parche liberado en abril (MS05-019), y que los sistemas que ejecutan Windows XP con Service Pack 2 (SP2) y Windows Server 2003 con SP1, no son vulnerables. "Microsoft Security Advisory", forma parte de un programa piloto que Microsoft anunció hace ya un mes. El servicio de alertas se pensó para confirmar los informes de fallos y proporcionar la información necesaria que ayude a los usuarios a tomar las medidas necesarias para protegerse a si mismos, o señalando los parches o cualquier otra clase de solución. En el aviso del miércoles, Microsoft responde a los informes del FrSIRT (French Security Incident Response Team), acerca de una vulnerabilidad en la implementación que Microsoft hace de un componente de los protocolos TCP/IP. TCP/IP es el lenguaje común de Internet, el que permite que diferentes tipos de computadoras utilicen la red y se comuniquen unas con otras, indiferentemente de la plataforma o sistema operativo que usen. Microsoft reconoce que un atacante podría explotar el fallo para interrumpir la conectividad de la red. Sin embargo, la compañía ignora la existencia de algún ataque concreto que explote esta vulnerabilidad, y tampoco ha tenido informes de algún cliente afectado, según el aviso. "Nosotros no consideramos que esto se trate de una amenaza significativa a la seguridad de Internet", afirma Microsoft. Para que un atacante intente explotar esta vulnerabilidad, el mismo debe predecir o conocer primero la dirección y el puerto IP de la fuente y del destino de una conexión existente. Aquellos programas o protocolos que mantengan sesiones extensas, poseen una información más previsible, y podrían estar bajo un riesgo mayor. Sin embargo, el ataque debería realizarse en cada conexión TCP existente, y además muchas aplicaciones son capaces de restaurar automáticamente cada conexión. De todos modos Microsoft anunció que el parche de seguridad MS05-019 sería actualizado en junio de 2005, porque la actualización original contiene un problema conocido de conectividad que afecta a un tipo particular de configuración de red. Aún así, Microsoft aconseja instalar este parche al momento actual. Por otra parte, en la alerta del "French Security Incident Response Team", se dice que el nuevo fallo no es el mismo, sino una variante de la vulnerabilidad solucionada por Microsoft en el parche MS05-019, y en una reciente actualización al texto del aviso, se sigue afirmando que Windows XP con SP2 y Windows Server 2003 con SP1 son vulnerables. Más específicamente, se advierte que la vulnerabilidad referida, NO tiene relación con la explicada por Microsoft en su aviso 899480. * Más información: Vulnerabilidad DoS remota en IPv6 de Microsoft Windows http://www.vsantivirus.com/vul-windows-ipv6-170505.htm Microsoft Security Advisory (899480) Vulnerability in TCP Could Allow Connection Reset (May 18, 2005) http://www.microsoft.com/technet/security/advisory/899480.mspx MS05-019 Ejecución de código y DoS (TCP/IP) (893066) http://www.vsantivirus.com/vulms05-019.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Falso anuncio de parche acumulativo de Microsoft _____________________________________________________________ http://www.vsantivirus.com/20-05-05.htm Falso anuncio de parche acumulativo de Microsoft Por Angela Ruiz angela@videosoft.net.uy Se ha reportado en las últimas horas la circulación de un correo electrónico con una supuesta actualización de seguridad de Microsoft. Su contenido habla de una actualización acumulativa para Internet Explorer, Outlook Express y Outlook. El falso mensaje, que asegura ser la versión más actual de las actualizaciones de seguridad de Microsoft (mayo de 2005), afirma en su texto (solo en inglés al momento actual), que esta actualización "resuelve todas las vulnerabilidades conocidas de la seguridad, que afectan al MS Internet Explorer, MS Outlook y MS Outlook Express". No es la primera vez ni será la última, que este tipo de mensajes falsos se propagan por Internet. Algunos incluso han contenido gusanos o troyanos. En el caso actual, no se conoce si el aviso posee algún tipo de carga maliciosa. Recordemos que Microsoft jamás envía adjuntos de ninguna clase a sus usuarios, y que los parches solo son descargados automáticamente vía "Windows Updates", o manualmente desde las páginas que contienen sus propios boletines de seguridad. En su sitio, Microsoft advierte desde hace bastante tiempo cuáles son sus políticas al respecto, las que pueden resumirse en los siguientes puntos: 1. Microsoft solo distribuye su software en medios físicos como CDs o discos flexibles. 2. Las actualizaciones de su software pueden ser hechas vía Internet. Cuándo ello sucede, el software está disponible en su sitio web, http://www.microsoft.com, o ser localizado a través de http://www.microsoft.com/downloads/search.asp?, o del servicio http://windowsupdate.microsoft.com/ 3. Microsoft puede enviar correo electrónico a sus clientes para informarles de actualizaciones disponibles. Sin embargo, los mensajes solo proporcionan los enlaces a los sitios anteriormente mencionados. Nunca se adjunta al mensaje software alguno. Además, los enlaces siempre llevarán a su sitio, nunca a uno de terceros. 4. Los mensajes de Microsoft siempre están firmados con un código de autenticación digital, para asegurar que esa información no ha sido alterada durante el envío. De todos modos, recuerde que jamás debe abrir adjuntos no solicitados, aún cuando sean de personas o instituciones conocidas, ya que los remitentes pueden haber sido falsificados. Relacionados: Microsoft Policies on Software Distribution www.microsoft.com/technet/security/topics/policy/swdist.mspx How to Tell If a Microsoft Security-Related Message Is Genuine www.microsoft.com/security/incident/authenticate_mail.mspx ¿Un mensaje de Microsoft con adjuntos?. ¡Cuidado! http://www.vsantivirus.com/lz-ms-adjuntos.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Sober.P. Envía mensajes en inglés o alemán _____________________________________________________________ http://www.vsantivirus.com/sober-p.htm Nombre: W32/Sober.P Nombre NOD32: Win32/Sober.P Tipo: Gusano de Internet Alias: Sober.P, Email-Worm.Win32.Sober.q, Email- Worm.Win32.Sober.Q, I-Worm/Sober.Q, Sober.P@mm, Sybari, Symantec, Trj/Agent.TC,, Trj/Sober.W, Trojan.Ascetic.C, W32/Sober.corr, W32/Sober.P@mm, W32/Sober.Q, W32/Sober.q, W32/Sober.q@MM, W32/Sober-Gen, W32/Sober-L, Win32.Ascetic.C, Win32.HLLM.Generic.345, Win32.Sober.Q@mm, Win32/Sober.O!Worm, Win32/Sober.P, Win32:Sober-O, Worm.Sober.Q, Worm.Sober.U, Worm/Sober.gen Fecha: 13/may/05 Plataforma: Windows 32-bit Tamaño: 53,792 bytes (UPX) Herramienta de limpieza: Si Última modificación: 19/may/05 Escrito en Microsoft Visual Basic, este gusano se propaga por correo electrónico, o es enviado en forma de spam. Los mensajes tienen asuntos y textos en inglés o alemán. Utiliza su propio motor SMTP, de modo que no depende del cliente utilizado por la víctima para enviarse. El remitente siempre es falso, y es seleccionado al azar de la lista de direcciones a las que el gusano se envía. El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones: .at .ch .de .li También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés. Mensajes en inglés: De: [remitente falso] Asunto: Your Password & Account number Texto del mensaje: hi, i've got an admin mail with a Password and Account info! but the mail recipient are you! it's probably an esmtp error, i think. i've copied the full mail text in the Windows text-editor & zipped. ok, cya... Datos adjuntos: acc_text.zip Mensaje en alemán: De: [remitente falso] Asunto: Ich habe Ihre E-Mail bekommen! Texto del mensaje: Hallo, jemand schickt ihre privaten Mails auf meinem Account. Ich schaetze mal, das es ein Fehler vom Provider ist. Insgesamt waren es jetzt schon 6 Mails! Ich habe alle Mail-Texte im Texteditor kopiert und gezippt. Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger nicht mehr auf meinem Account landen, es Nervt naemlich. Gruss Datos adjuntos: MailTexte.zip En ambos casos, el archivo .ZIP contiene el ejecutable del gusano, con el siguiente nombre y doble extensión: mail_text-data.txt .pif El gusano solo se ejecuta cuando el usuario hace doble clic sobre el adjunto. Cuando ello sucede, puede abrir el bloc de notas para mostrar un texto que comienza con las siguientes líneas: Mail-Text: Unzip failed Cuando se ejecuta, el gusano crea las carpetas SYSTEM y WIN32 dentro de \WINDOWS\MSAGENT, y copia los siguientes archivos: c:\windows\msagent\SYSTEM\smss.exe c:\windows\msagent\WIN32\emdata.mmx c:\windows\msagent\WIN32\zipzip.zab Donde SMSS.EXE es una copia del propio gusano. También crea los siguientes archivos dentro de la carpeta de Windows: c:\windows\nonrunso.ber c:\windows\read.me c:\windows\stopruns.zhz c:\windows\xcvfpokd.tqa NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Crea las siguientes entradas para auto ejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services.dll = "c:\windows\msagent\system\smss.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run _Services.dll = "c:\windows\msagent\system\smss.exe" El gusano utiliza su propio motor SMTP (Simple Mail Transfer Protocol), para enviarse en forma masiva. Obtiene las direcciones de archivos con las siguientes extensiones: .abc .abd .abx .adb .ade .adp .adr .asp .bak .bas .cfg .cgi .cls .cms .csv .ctl .dbx .dhtm .doc .dsp .dsw .eml .fdb .frm .hlp .imb .imh .imh .imm .inbox .ini .jsp .ldb .ldif .log .mbx .mda .mdb .mde .mdw .mdx .mht .mmf .msg .nab .nch .nfo .nsf .nws .ods .oft .php .phtm .pl .pmr .pp .ppt .pst .rtf .shtml .slk .sln .stm .tbb .txt .uin .vap .vbs .vcf .wab .wsh .xhtml .xls .xml Evita enviarse a direcciones cuyos nombres contengan algunas de las siguientes cadenas: .dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock -dav detection domain. emsisoft ewido. freeav free-av ftp. gold-certs google host. icrosoft. ipt.aol law2 linux mailer-daemon mozilla mustermann@ nlpmail01. noreply nothing ntp- ntp. ntp@ office password postmas reciver@ secure service smtp- somebody someone spybot sql. subscribe support t-dialin test@ time t-ipconnect user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname El gusano mantiene tres procesos activos en memoria para permanecer siempre residente. Si se elimina cualquiera de ellos, los demás crean un nuevo proceso. El archivo C:\WINDOWS\READ.ME contiene el siguiente texto: test test test In diesem Sinne: Odin alias Anon El gusano intenta finalizar procesos activos que contengan las siguientes cadenas de texto en su nombre: gcas gcip giantanti hijackthis stinger * Componente troyano (SPAM) En determinada fecha, el gusano descarga un troyano que no posee la posibilidad de propagarse por si solo, pero abre a su vez una puerta trasera en computadoras ya infectadas, y las convierte en lanzaderas de spam. Cuando se ejecuta, el troyano otra carpeta HELP dentro de \WINDOWS\HELP, y copia los siguientes archivos: c:\windows\help\HELP\csrss.exe c:\windows\help\HELP\services.exe c:\windows\help\HELP\smss.exe Crea además la siguiente entrada en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SystemBoot = "c:\windows\help\help\services.exe" También libera los siguientes archivos en la misma carpeta donde se ejecuta: fastso.ber sacri2.ggg sacri3.ggg sysonce.tst voner1.von voner2.von voner3.von Crea el siguiente archivo: c:\windows\system32\Spammer.Readme Dicho archivo contiene el siguiente texto: [dirección de internet] [dirección de internet] Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden :) In diesem Sinne in the file c:\windows\system32\Spammer.Readme Dicho mensaje advierte a las compañías de antivirus que el Sober no es un remitente de spam, aunque quizás podría llegar a serlo. El troyano también crea los siguientes archivos vacíos en la carpeta de Windows y en la que se ejecute el mismo: adcmmmmq.hjg gdfjgthv.cvq langeinf.lin seppelmx.smx xcvfpokd.tqa Dichos archivos son creados para deshabilitar versiones anteriores del Sober. Si se ejecuta entre el 15/5/2005 y 22/5/2005, el troyano inicia su rutina de envío masivo de spam. Esta acción tiene como resultado un notorio aumento de correo no solicitado, donde casi todos los mensajes contienen asuntos y textos en alemán e inglés, con contenido político ultra-derechista. Las direcciones para enviarse, son obtenidas de archivos del equipo infectado con las siguientes extensiones: .abc .abd .abx .adb .ade .adp .adr .asp .bak .bas .cfg .cgi .cls .cms .csv .ctl .dbx .dhtm .doc .dsp .dsw .eml .fdb .frm .hlp .imb .imh .imh .imm .inbox .ini .jsp .ldb .ldif .log .mbx .mda .mdb .mde .mdw .mdx .mht .mmf .msg .nab .nch .nfo .nsf .nws .ods .oft .php .phtm .pl .pmr .pp .ppt .pst .rtf .shtml .slk .sln .stm .tbb .txt .uin .vap .vbs .vcf .wab .wsh .xhtml .xls .xml Esta rutina del troyano ignora las direcciones que contengan alguna de las siguientes cadenas en su nombre: .dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock -dav detection domain. emsisoft ewido. freeav free-av ftp. gold-certs google host. iana- iana@ icrosoft. ipt.aol law2 linux mailer-daemon mozilla mustermann@ nlpmail01. noreply nothing ntp- ntp. ntp@ reciver@ secure smtp- somebody someone spybot sql. subscribe t-dialin test@ time t-ipconnect user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname El troyano envía los siguientes mensajes en alemán o inglés: Mensajes en alemán: Ejemplo 1: Asunto: 4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass Texto del mensaje: [dirección de internet] Neue Dokumente: [dirección de internet] Botschafter in Kiew beschwerte sich noch 2004: [dirección de internet] Traumziel Deutschland: Ohne Deutsch nach Deutschland: [dirección de internet] [dirección de internet] Kanzler erleichtert Visaverfahren fr Golfstaaten: [dirección de internet] Vorbildliche Aktion: [dirección de internet] Ejemplo 2: Asunto: Auf Streife durch den Berliner Wedding Texto del mensaje: [dirección de internet] [dirección de internet] Ejemplo 3: Asunto: Auslaender bevorzugt Texto del mensaje: [dirección de internet] Jetzt weiss man auch, wie es dazu kommt, dass Drogen, Waffen & Handy's in die Haende der Knacki's gelangen! Ejemplo 4: Asunto: Deutsche Buerger trauen sich nicht ... Texto del mensaje: Auslaenderbanden terrorisieren Wahlkampf - deutsche Buerger trauen sich nicht ihre Meinung zu sagen! Weiter auf: [dirección de internet] Auslaender ueberfallen nationale Aktivisten: [dirección de internet] [dirección de internet] Ejemplo 5: Asunto: Auslaenderpolitik Texto del mensaje: [dirección de internet] Ejemplo 6: Asunto: Blutige Selbstjustiz Texto del mensaje: [dirección de internet] Polizeiexperten warnen: Ethnisch abgeschottete Mafia-Clans sind kaum noch zu durchdringen. Die Gerichte tragen Mitschuld. Weiter auf: [dirección de internet] Ejemplo 7: Asunto: Deutsche werden kuenftig beim Arzt abgezockt Texto del mensaje: [dirección de internet] EU-Abgeordnete goennen sich luxurioese Vollversorgung: [dirección de internet] Deutsche Krankenversicherungen muessen fuer Harems-Frauen zahlen: [dirección de internet] Kassenfunktionaere vervierfachten Gehalt: [dirección de internet] Ejemplo 8: Asunto: Paranoider Deutschenmoerder kommt in Psychia trie Texto del mensaje: [dirección de internet] Ejemplo 9: Asunto: Du wirst zum Sklaven gemacht!!! Texto del mensaje: [dirección de internet] Immer mehr Frauen prostituieren sich: [dirección de internet] STAATSPROPAGANDA: [dirección de internet] Ejemplo 10: Asunto: Dresden 1945 Texto del mensaje: [dirección de internet] Ejemplo 11: Asunto: Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer Texto del mensaje: [dirección de internet] Ejemplo 12: Asunto: Gegen das Vergessen Texto del mensaje: In den fruehen Abendstunden des 13. Februar 1945 gegen 21:41 Uhr heulten die Sirenen der Lazarettstadt Dresden das erste mal auf. Die Bewohner der Elbmetropole machten sich zu der Zeit noch keine Sorgen, da Dresden als Stadt ohne Bewaffnungund ohne militaerischen Nutzen bekannt war und von ca. 1,2 Millionen Frauen, Kindern und Greisen bewohnt wurde. Gegen 22:09 Uhr gab der Rundfunk durch, dadie alliierten Bomberverbaende ihren Kurs geaendert haben und nun auf Dresden zufliegen. Kurz darauf befanden sich 244 britische Bomber am Himmel der deutschen Kulturstadt. Drei Stunden nach dieser ersten Angriffswelle - es befanden sich bereits alle verfuegbarenRettungsmannschaften, Sanitaeter und Feuerwehmaenner in Dresden - verdunkelten weitere 500 Bomber den Himmel. Am naechsten Tag folgte die letzte Angriffswelle mit erneut 300 US-B-17-Bombern. Zwischen 12:12 Uhr und 12:21 Uhr warfen diese 783 Tonnen Bomben ab. - Das entspricht mehr als 85 Tonnen pro Minute. Nach dem Abwerfen setzten die US-Bomber zum Tiefflug an und beschossen Fluechtende mit ihren Bordwaffen. In diesen drei Angriffsschlaegen, die insgesamt 14 Stunden andauerten, warfen die Befreier 650.000 Brandbomben und 200.000 Sprengbomben ab, welche einen Feuersturm von ueber 1000 Grad in der Stadt erzeugten. Obwohl Dresden weder Flugabwehr, noch Ruestungsindustrie oder aehnliche kriegswichtige Ziele besass wurden weit mehr als 350.000 unschuldige deutsche Zivilisten in diesen zwei Tagen kaltbluetig ermordet. Keiner der schuldigen Alliierten wurde jemals fuer dieses brutale Kriegsverbrechen auchnur angeklagt und die Massenmedien und die bundesdeutsche Regierung schweigen diese Taten tot und sehen es nicht als noetig an den Opfern zu gedenken.! Ejemplo 13: Asunto: Tuerkei in die EU Texto del mensaje: GEWALTEXZESS: [dirección de internet] Politiker zerrei t Menschenrechtsbericht: [dirección de internet] Schily = Hitler [dirección de internet] Schily wehrt sich gegen Hitler-Vergleiche: [dirección de internet] Sie hat ja wie eine Deutsche gelebt: [dirección de internet] [dirección de internet] Parallelgesellschaften - Feind hoerte mit: [dirección de internet] Sie war unerlaubt spazieren: [dirección de internet] Tiere an Autobahn geschlachtet: [dirección de internet] Ejemplo 14: Asunto: Hier sind wir Lehrer die einzigen Auslaender Texto del mensaje: [dirección de internet] [dirección de internet] Ejemplo 15: Asunto: Multi-Kulturell = Multi-Kriminell Texto del mensaje: [dirección de internet] Ejemplo 16: Asunto: Verbrechen der deutschen Frau Texto del mensaje: [dirección de internet] Ejemplo 17: Asunto: S.O.S. Kiez! Polizei schlaegt Alarm Texto del mensaje: [dirección de internet] Ejemplo 18: Asunto: Transparenz ist das Mindeste Texto del mensaje: [dirección de internet] Ejemplo 19: Asunto: Trotz Stellenabbau Texto del mensaje: [dirección de internet] Ejemplo 20: Asunto: Vorbildliche Aktion Texto del mensaje: [dirección de internet] Ejemplo 21: Asunto: Augen auf Texto del mensaje: [dirección de internet] Ejemplo 22: Asunto: Du wirst ausspioniert ....! Texto del mensaje: und weisst es nicht einmal: [dirección de internet] Ejemplo 23: Asunto: Volk wird nur zum zahlen gebraucht! Texto del mensaje: [dirección de internet] ... damit Sie nicht als der erste Kanzler in die deutsche Geschichte eingehen, der Untertanen verboten hat, aus ihren Fenstern auf die Strasse zu gucken - selbst Nazis und Stalinisten haben niemals eine aehnliche Anordnung treffen lassen! Ejemplo 24: Asunto: 60 Jahre Befreiung: Wer feiert mit? Texto del mensaje: [dirección de internet] Ejemplo 25: Asunto: Graeberschaendung auf bundesdeutsche Anordnung Texto del mensaje: [dirección de internet] Ejemplo 26: Asunto: Schily ueber Deutschland Texto del mensaje: [dirección de internet] Posibles mensajes en inglés: Ejemplo 1: Asunto: The Whore Lived Like a German Texto del mensaje: Full Article: [dirección de internet] Ejemplo 2: Asunto: Turkish Tabloid Enrages Germany with Nazi Comparisons Texto del mensaje: Full Article: [dirección de internet] Ejemplo 3: Asunto: Dresden Bombing Is To Be Regretted Enormously Texto del mensaje: Full Article: [dirección de internet] Ejemplo 4: Asunto: Armenian Genocide Plagues Ankara 90 Years On Texto del mensaje: Full Article: [dirección de internet] El troyano controla la hora y fecha actual sincronizándose con una lista de servidores NTP (Network Time Protocol o Protocolo de Tiempo de Red). La siguiente es la lista de servidores NTP monitoreados: clock.psu.edu cuckoo.nevada.edu ntp.lth.se ntp.massayonet.com.br ntp.pads.ufrj.br ntp-1.ece.cmu.edu ntp-2.ece.cmu.edu ntp2b.mcc.ac.uk ntp3.fau.de ntp-sop.inria.fr os.ntp.carnet.hr Rolex.PeachNet.edu rolex.usg.edu sundial.columbia.edu time.kfki.hu time.nist.gov time.xmission.com time-a.timefreq.bldrdoc.gov time-ext.missouri.edu timelord.uregina.ca utcnist.colorado.edu Si la fecha es 23/5/2005 o posterior, en lugar de enviar mensajes, el troyano intenta descargar y ejecutar otro archivo de alguno de los siguientes dominios: free.pages.at home.arcor.de home.pages.at people.freenet.de scifi.pages.at El nombre del archivo a descargar (una probable nueva variante del gusano), está formada por un script de acuerdo a la fecha y hora. El troyano también examina si existe una conexión a la red, intentando conectarse a alguno de los siguientes dominios: microsoft.com bigfoot.com yahoo.com t-online.de google.com hotmail.com Si no existe una conexión, el troyano muestra el siguiente mensaje: Memory Read in Winsock Module {0x0000001F} failed. Restart your Computer to fix this problem. El troyano intenta finalizar todos los procesos cuyo nombre contenga alguna de las siguientes cadenas: fxsob gcas gcip giantanti hijack inetupd. microsoftanti nod32. nod32kui sober s-t-i-n-g El troyano intenta deshabilitar el cortafuegos de Windows XP, modificando la siguiente entrada del registro: HKLM\SYSTEM\ControlSet001\Services\SharedAccess \Parameters\FirewallPolicy\StandardProfile EnableFirewall = "0" También intenta deshabilitar la actualización automática de Windows, modificando la siguiente entrada: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion \WindowsUpdate\Auto Update AUOptions = "0" El gusano busca el siguiente archivo en el sistema. Si el mismo existe, el gusano no se ejecuta: c:\windows\system32\bbvmwxxf.hml * Más información: Mutación del Sober inunda las casillas con spam http://www.vsantivirus.com/18-05-05.htm * Herramienta de limpieza automática: Descargue y ejecute esta herramienta de NOD32 en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla. http://www.vsantivirus.com/sober-p.htm#lim Herramienta de limpieza (c) Future Time Srl * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre todos los archivos detectados como infectados. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\help\HELP\csrss.exe c:\windows\help\HELP\services.exe c:\windows\help\HELP\smss.exe c:\windows\msagent\SYSTEM\smss.exe c:\windows\msagent\WIN32\emdata.mmx c:\windows\msagent\WIN32\zipzip.zab c:\windows\nonrunso.ber c:\windows\read.me c:\windows\stopruns.zhz c:\windows\xcvfpokd.tqa También borre las carpetas \SYSTEM y \WIN32 dentro de "c:\windows\msagent" y \HELP dentro de "c:\windows\help" (no borre C:\WINDOWS\SYSTEM ni C:\WINDOWS\MSAGENT ni C:\WINDOWS\HELP que son carpetas legítimas de Windows). Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares a los descriptos antes. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y borre la siguiente entrada: _Services.dll 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y borre las siguientes entradas: Services.dll SystemBoot 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \WindowsUpdate \Auto Update 7. Haga clic en la carpeta "Auto Update" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de "AUOptions" por "4": AUOptions = "4" 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \ControlSet001 \Services \SharedAccess \Parameters \FirewallPolicy \StandardProfile 9. Haga clic en la carpeta "StandardProfile" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de "EnableFirewall" por "1": EnableFirewall = "1" 10. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Publicado anteriormente: VSantivirus No. 1773 Año 9, domingo 15 de mayo de 2005 * Actualizaciones: 19/05/05 - 19:08 -0300 (Ampliación de descripción) 19/05/05 - 22:11 -0300 (Nuevos alias) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Adware/180Solutions. Monitorea búsquedas en Internet _____________________________________________________________ http://www.vsantivirus.com/adware-180solutions.htm Nombre: Adware/180Solutions Nombre Nod32: Win32/Adware.180Solutions Tipo: Adware (Parásito) Alias: Adware.180Solutions, .Ncas, .Ncase180, 180Solutions, Adware.1088, Adware.180Search, AdWare.180Solutions, Adware.nCase, Adware.Ncase.D, Adware.Searchassist.C, Adware/180Solutions, application Adware-180Solutions, Download/180Solutions, not-a-virus:AdvWare.180Solutions, PMS/180Solutions.A.1, Trojan.Spy.Ncase-2, W32/Dyfuca.DG, W32/Dyfuca.DM@dl, W32/Ncase.D, W32/Salm.A@bd, Win32/Adware.180Solutions, Win32:Trojan-gen Fecha: 2/oct/04 Plataforma: Windows 32-bit Tamaño: variable Última modificación: 19/may/05 Este adware monitorea constantemente el contenido de la ventana del navegador de Internet, y abre páginas web con publicidad de sus afiliados, cuando ciertas palabras son usadas en buscadores o sitios de compra. Las nuevas ventanas del navegador pueden tener el título "Brought to you by the 180search Assistant" (Traído a usted por el asistente de 180search). Se instala como parte de otros programas. El vendedor aclara que al instalar el asistente de búsquedas 180search, el usuario está otorgándole el permiso a la compañía 180solutions para mostrarle periódicamente determinados sitios web (publicidad). El programa también recogerá información, incluyendo el listado de los sitios visitados al navegar por Internet. Dicha información será utilizada para seleccionar más específicamente la publicidad mostrada, de acuerdo a las preferencias de navegación del usuario. Cuando se instala la aplicación o programa original, un texto con el acuerdo de licencia final del usuario (EULA), es mostrado, y los usuarios deben aceptar las condiciones para su instalación. Los cambios realizados en el sistema, pueden comprometer el rendimiento general de la navegación. El adware instala algunos de los siguientes archivos en el sistema: 180ax.exe boomerang.exe msbb.exe saap.exe sais.exe salm.exe sau.exe También modifica la siguiente clave del registro para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [valor] = [nombre del ejecutable] Donde [valor] puede ser alguna de los siguientes nombres: 180ax MSBB saap sais salm sau Y [nombre del ejecutable] uno de los archivos mencionados antes. Mientras se ejecuta, además de monitorear el ingreso de ciertas palabras (configurable por el programa o sitio que agrega el adware), examina si el mismo u otros componentes han sido removidos del sistema, y es capaz de repararse reinstalando los archivos eliminados. * Cómo protegernos de los parásitos ¿Qué son los parásitos?. ¿Qué tipos de parásitos existen?. ¿Cómo llegan a nuestra computadora?. ¿Cómo protegernos de ellos?. Toda la información relacionada la encuentra en el siguiente artículo: Parásitos en nuestra computadora http://www.vsantivirus.com/ev-parasitos.htm También sugerimos la siguiente configuración para evitar la descarga y ejecución de esta clase de parásitos: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm * Procedimiento sugerido de limpieza Puede desinstalar este parásito, desde "Agregar o quitar programas" del Panel de control de Windows. Sin embargo, sugerimos el siguiente procedimiento de limpieza. NOTA: Eliminar este parásito, puede ocasionar que algunos de los programas que lo instalan, dejen de funcionar o no funcionen correctamente. * Antivirus Para borrar manualmente el parásito, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar los archivos creados por el parásito * En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), cada uno de los siguientes nombres de archivos: 180ax.exe boomerang.exe msbb.exe saap.exe sais.exe salm.exe sau.exe 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), cada uno de los siguientes nombres de archivos: 180ax.exe boomerang.exe msbb.exe saap.exe sais.exe salm.exe sau.exe 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Haga clic en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre" busque y borre todas las entradas que aparezcan de la siguiente lista: 180ax MSBB saap sais salm sau 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer 1. Cierre todas las ventanas del Internet Explorer abiertas 2. Seleccione "Mi PC", "Panel de control". 3. Haga clic en el icono "Opciones de Internet". 4. Seleccione la lengüeta "Programas". 5. Haga clic en el botón "Restablecer configuración Web" 6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI. 7. Haga clic en "Aceptar". * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual". * Cambiar las páginas de búsqueda del Internet Explorer 1. Inicie el Internet Explorer. 2. Haga clic en el botón "Búsqueda" de la barra de herramientas. 3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar". 4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant). 5. Haga clic en el botón "Reiniciar" (Reset). 6. Haga clic en el botón "Configuración de Autosearch" (Autosearch Settings). 7. Elija un proveedor de búsquedas en el menú (Search Provider). 8. Seleccione "Aceptar" hasta salir de todas las opciones. * Información adicional Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Publicado anteriormente: VSantivirus No. 1551 Año 8, martes 5 de octubre de 2004 * Actualizaciones: 20/05/05 - 00:40 -0300 (Nuevos alias y versiones) 20/05/05 - 00:40 -0300 (Ampliación de descripción) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1778 Año 9, viernes 20 de mayo de 2005