Mostrando mensaje 97     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1048 Año 7, Miércoles 21 de mayo de 2003 Fecha: Miercoles, 21 de Mayo, 2003  17:30:26 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1048 Año 7, Miércoles 21 de mayo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Descubren nueva amenaza para las redes inalámbricas 2 - Palyh no debería haber supuesto ningún tipo de peligro 3 - Error en procesador Itanium 2 puede colgar al servidor 4 - W32/Tarit.A. Se propaga exclusivamente vía KaZaa 5 - W32/Naco.A. Se propaga por redes P2P y por correo _____________________________________________________________ 1 - Descubren nueva amenaza para las redes inalámbricas _____________________________________________________________ http://www.vsantivirus.com/ar-wormhole-attack.htm Descubren nueva amenaza para las redes inalámbricas Por Angela Ruiz angela@videosoft.net.uy Un nuevo peligro para las redes inalámbricas ha sido revelado por un joven equipo de investigadores norteamericanos. Llamado "wormhole attack" (ataque de agujeros de gusanos), este método podría golpear y dejar fuera de acción a una red, o acabar con un sistema de autenticación, informó la publicación NewScientist esta semana. Pero ellos mismos también descubrieron que la amenaza puede ser neutralizada a través del uso de paquetes con información del tipo GPS u otros códigos de tiempo. GPS (Global Position System), es un sistema de posicionamiento global que se basa en la medida simultánea de la distancia entre el receptor y al menos 4 satélites, dando como resultado la ubicación geográfica exacta. En el tipo de ataque descubierto, un intruso puede interceptar los paquetes de información mientras viajan por alguna parte de la red, y rápidamente reinsertarla en otro punto físico de la misma red. Las redes inalámbricas Ad-hoc, podrían ser severamente dañadas utilizando esta técnica. En una arquitectura de pares (peer to peer), dos o más nodos pueden iniciar directamente la comunicación entre sí; no requieren ningún intermediario. Un mismo dispositivo puede desempeñarse como cliente y como servidor. Esto es lo que se denomina modo Ad-hoc (o modo de pares). El ataque funciona traspasando la información de un nodo al próximo hasta alcanzar su destino, sin ser controlados por el servidor central. Las redes Ad-hoc son utilizadas para extender el rango de las redes inalámbricas LAN en computadoras portátiles, y también son las empleadas por los servicios militares y de emergencia. Incluso si el tráfico de la red estuviera encriptado, un atacante sería capaz de interceptar el control del flujo de datos a través de la red, afirman Yi-Chin Hu y Adrian Perrig de la universidad Carnegie Mellon de Pennsylvania, y David Johnson de la universidad Rice de Texas. Si el tráfico no está encriptado, un atacante puede alterar los paquetes de información sin ser detectados. Sistemas inalámbricos de autenticación, incluyendo los que estuvieran encriptados, podrían ser duplicados utilizando estos "agujeros de gusanos". Retransmitiendo la comunicación autenticada mediante transceptores ocultos, un atacante podría por ejemplo, engañar a un sistema de seguridad para abrir alguna puerta trasera, dice Hu. "El agujero de gusano pone al atacante en una posición muy poderosa en relación a otros nodos de la red", explica el investigador. "Las posibles formas para sacar provecho de un 'wormhole' por parte de un atacante incluyen las de desechar paquetes en lugar de reenviarlos, creando un permanente ataque de denegación de servicio, o descargar y modificar selectivamente solo ciertos paquetes". El experto en seguridad de computadoras Bruce Schneier, y fundador de la compañía Counterpane, afirma que este ataque se hace de una forma "muy elegante" y podría ser sumamente efectivo. Aunque es complicado extenderlo a grandes áreas, Schneier no duda que ya alguien descubrirá como hacerlo. Los investigadores proponen defender las redes de este tipo de ataque, agregando marcas identificatorias a cada paquete. Llamados "packet leashes", estas marcas permitirían que cada nodo pueda determinar de donde viene el paquete. La sugerencia es marcar estos paquetes con información GPS, o un indicador de tiempo con un reloj sincronizado con la red. Así se podría saber si viene de un nodo cercano y no de otro más lejano. Pero para Schneier, implementar esto sería caro y dificultoso. El sugiere intercambiar bits muy rápidamente entre nodos y usar la velocidad de la luz para calcular la distancia real entre estos puntos en la red. La amenaza y las medidas para resolverla, se explican en los papeles técnicos "Packet Leashes: A Defense Against Wormhole Attacks in Wireless Networks", (en inglés), resumen para una exposición dada en abril de 2003 en "The 22nd Annual Joint Conference of the IEEE Computer and Communications Societies", conferencia celebrada en San Francisco. * Enlaces: Computer Science, Carnegie Mellon University http://www-2.cs.cmu.edu/ Computer Science, Rice University http://www.cs.rice.edu/ Counterpane http://www.counterpane.com/ Packet Leashes: A Defense Against Wormhole Attacks in Wireless Networks (pdf) http://www.ece.cmu.edu/~adrian/projects/secure-routing/infocom2003.pdf New Scientist magazine http://www.newscientist.com/inprint/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Palyh no debería haber supuesto ningún tipo de peligro _____________________________________________________________ http://www.vsantivirus.com/fdc-palyh.htm El virus Palyh no debería haber supuesto ningún tipo de peligro Por Fernando de la Cuadra (*) Fdelacuadra@pandasoftware.com [Nota VSA: El virus Palyh, originalmente llamado W32/Palyh.A, es conocido también como W32/Sobig.B, y así lo llaman numerosos antivirus. Panda le sigue dando su nombre anterior, y así figura en este artículo.] Uno de los aspectos a los que no suele prestarse demasiada atención en los antivirus corporativos es la capacidad de filtrado de ficheros que suelen incorporar, y que, por otra parte, constituyen un elemento básico de los antivirus para servidores de correo electrónico. Un buen uso de estos sistemas pueden evitar una catástrofe en la seguridad de la información almacenada en la red. Uno de los últimos códigos maliciosos aparecidos es el gusano Palyh, que se propaga a través de correo electrónico utilizando su propio motor SMTP. El objetivo de este virus, no es solamente la libreta de direcciones del ordenador infectado sino también las direcciones de correo que pueden estar contenidas en archivos con extensiones .TXT, .EML, .HTM*, .DBX, y .WAB. De esta manera, Palyh consigue una capacidad de propagación mayor que la de otros gusanos. El mensaje de correo en el que Palyh llega al ordenador lleva adjunto un fichero con extensión .PIF que es el encargado de llevar a cabo la infección. La extensión PIF proviene de "Program Information File" (archivo de información de programas). El origen de estos archivos es la necesidad de establecer parámetros especiales de ejecución para algunos programas, tales como directorios especiales, variables de entorno, etc. Pero el peligro de este tipo de archivos es que puede estar (y en este virus de hecho lo está) enmascarando un peligro adicional. Esta técnica no es nueva, y ya ha sido empleada por más virus. Desde los peligrosos y veteranos Badtrans o MTX, el enmascaramiento de virus en ficheros PIF ha resultado muy efectiva. Los antivirus, como ya hemos comentado en un principio, pueden evitar este tipo de infecciones simplemente filtrando determinadas extensiones en los mensajes de correo electrónico. O, por lo menos, analizándolas. De algunos estudios realizados por Panda Software se obtiene que cerca del 20% de las empresas no tienen activado el análisis de determinadas extensiones que pueden resultar peligrosas, como, tales como *.{*. Esta extensión corresponde a los códigos CLSID, los "identificadores de clase", Class ID. Desde estos códigos, que se almacenan en el registro de Windows, se pueden registrar componentes nuevos en el sistema, controles ActiveX, etc. Su peligro es evidente, ya que registrar un determinado elemento sin haberlo comprobado antes puede causar graves problemas de seguridad. Ante esta situación, se debe establecer una política segura de filtrado de contenidos en la que no solamente se analicen o eliminen los elementos considerados tradicionalmente peligrosos (ficheros .EXE, .COM, .VBS, etc.), sino todos aquellos en los que se hayan detectado vulnerabilidades en los programas que ejecuten esos ficheros. Para ayudar en esta tarea, Panda Software pone a disposición de los administradores de red interesados en la seguridad de los contenidos el documento "Estrategia de Filtrado de contenidos", en los que se detallan claramente los elementos que pueden representar un peligro para los equipos de la red y cómo poder filtrarlos. Puede ser descargado desde: http://www.pandasoftware.es/descargas/documentos/whitepapers.asp A pesar de que se pueda llegar a implantar una política de filtrados que pueda ser considerada óptima, el virus Palyh tiene otra característica que lo hace muy efectivo: la ingeniería social. Los usuarios abren confiados el fichero adjunto puesto que proviene, teóricamente, de una fuente tan fiable como "support@microsoft.com". Desde muchos ámbitos se ha hecho hincapié en no abrir correos electrónicos de fuentes poco fiables, ni de direcciones que no sean de nuestra confianza. Evidentemente una dirección acabada en "microsoft.com" es de plena confianza para cualquier usuario, pero siempre que esa dirección sea real. No creo recordar desde hace mucho tiempo que Microsoft envíe correos electrónicos que no sean en texto plano, y mucho menos con ficheros adjuntos. Esto se debe a que el correo no lo envía Microsoft, sino que es una estrategia más del virus para engañar al usuario. Tras una gran política de seguridad no deben esconderse puntos tan importantes como la formación de los usuarios. No hay firewall ni sistema de filtrado que no sea vulnerable ante técnicas de ingeniería social como la empleada por Palyh. Si de verdad queremos que la seguridad sea un hecho, todos los administradores de red deberán incluir en sus políticas de seguridad la formación de los usuarios. Ello eliminaría en gran medida los riesgos que nos acechan tras mensajes de correo aparentemente inocentes.. (*) Fernando de la Cuadra es Editor Técnico Internacional de Panda Software (http://www.pandasoftware.com) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Error en procesador Itanium 2 puede colgar al servidor _____________________________________________________________ http://www.vsantivirus.com/21-02-03.htm Error en procesador Itanium 2 puede colgar al servidor Por Redacción VSAntivirus vsantivirus@videosoft.net.uy La semana pasada, Intel informó que su procesador Itanium 2, en el que se basan modernas soluciones empresariales como servidores de Internet de última generación, posee un error que causa que la máquina que lo use se pueda colgar. Una de las características de este procesador es que su uso incrementa el rendimiento de un servidor hasta en un 50 a un 100%, gracias a su ancho de banda del bus del sistema de 6,4 GB/seg. y a su caché L3 integrado de 3 MB, ideal para el manejo de grandes bases de datos. El problema detectado solo afecta algunos de los modelos del procesador, y únicamente bajo ciertas condiciones especiales, que involucran el manejo de cierto tipo de datos e instrucciones, dijo un portavoz de Intel, el lunes de la semana pasada. El fallo, descubierto tanto en la versión de 900 megahertz como en la de 1 gigahertz de la familia del Itanium 2, nombre de código McKinley, fue descubierto en el laboratorio, no en el terreno real. Cuando se provoca el problema, la computadora empiece a fallar, hasta terminar colgándose. Intel reemplazará los chips afectados. El error no afecta a los Itanium 2, nombre de código Madison, de 1.5 gigahertz. En el momento actual, no hay información del impacto que la falla haya podido causar en aquellos usuarios del producto que podrían estar afectados. Intel ya había detenido la producción de los nuevos Pentium 4 de 3 gigahertz el pasado mes, al haberse descubierto un error en un pequeño porcentaje de los chips producidos. Un parche implementado por medio del software, soluciona ese problema. * Relacionados: Procesador Intel Itanium 2 http://www.intel.com/es/products/server/processors/server/itanium2/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Tarit.A. Se propaga exclusivamente vía KaZaa _____________________________________________________________ http://www.vsantivirus.com/tarit-a.htm Nombre: W32/Tarit.A Tipo: Gusano de Internet (P2P) Alias: W32/Tarit.worm, Bloodhound.w32.5 Fecha: 20/may/03 Plataforma: Windows 32-bit Tamaño: 28,672 bytes Este gusano se propaga solamente a través de la red de intercambio de archivos KaZaa, realizando múltiples copias de si mismo dentro de la carpeta compartida por defecto con otros usuarios. Esta carpeta puede no ser la misma en sistemas operativos Windows en otro idioma diferente al español. En su código, está escrito textualmente el siguiente camino: C:\PROGRAM FILES\KAZAA\MY SHARED FOLDER Todos los usuarios de KaZaa están en riesgo de infección si descargan y ejecutan cualquier archivo ejecutable sin revisarlo antes con dos o más antivirus actualizados. Note que para ver que en realidad se tratan de archivos ejecutables debe tener habilitada la opción "Mostrar las extensiones verdaderas de los archivos" (ver Referencias al final). Los siguientes nombres son utilizados por el gusano: Ali G -Track13.wma.exe Ali G Gives Respect.Xvid.AVI.mpg.exe Ali G in the House.Divx.AVI.mpg.exe Ali G_-_Secret Track.mp3.exe AMD Upclocker Inst.exe Amd VS Intel Full.exe AMD64 Hammer Information_Setup.exe ATB - Track07.ogg.exe Austin Powers Gold Member.DCF32.AVI.dat.exe Beavis & Butthead do America.Xvid.AVI.mpg.exe Bedazzled.Mpeg4.AVI.mpg.exe Black & White Installation.exe Blank & Jones -_Track09.wma.exe Bump 12_- Track03.ogg.exe Bump 12_-_Secret Track.ogg.exe Bump HardHouse 3_- Track09.wma.exe Capella - Track03.wma.exe Cruel Intentions 3.DCF32.AVI.avi.exe Dance E-Jay 1_.exe Dance E-Jay 1_Setup.exe Dance E-Jay 3_Inst.exe Dance E-Jay 4 Installation.exe DareDevil.Mpeg4.VCD.avi.exe DareDevil.Xvid.SVCD.dat.exe Deep Purple_- Track06.mp3.exe Dixie Chicks - Southpark mix.mp3.exe DVD Ripper Installation.exe DVD Ripper_Installation.exe Ecstasy_-_Southpark mix.ogg.exe Eminem -_Track12.mp3.exe ESP 1_- Chipmunc mix.wma.exe ESP 2 - Simpsons mix.mp3.exe ESP 3 - Track03.wma.exe Free ISP .exe Free ISP Full.exe Hackers II.Divx.VCD.dat.exe Hackers II.Mpeg4.SVCD.dat.exe Harry Potter 01.Divx.VCD.dat.exe Harry Potter 01.Mpeg4.AVI.mpg.exe Hits 2000 - Track04.mp3.exe Hits 2002_-_Track04.wav.exe Internet Overclocker_.exe Internet Overclocker_Full.exe Worm.CodeRed Inst.exe JackAss - The Movie.Divx.SVCD.dat.exe JackAss - The Movie.Mpeg4.AVI.avi.exe Janet Jackson_-_Chipmunc mix.ogg.exe Jay and Silent bob.DCF32.VCD.dat.exe Jay and Silent bob.Divx.VCD.mpg.exe Jay and Silent bob.Xvid.DVD.mpg.exe Koleske_-_Track04.wav.exe LameMp3 Encoder_Installation.exe Liberty stand still.Divx.AVI.dat.exe Lord of the Rings - Fellowship of the ring.Xvid.SVCD.dat.exe Lord of the Rings - Two Towers.DCF32.SVCD.dat.exe Lord of the Rings - Two Towers.Divx.DVD.mov.exe Lovemaking_- Track06.ogg.exe Mcafee Antivirus_Full.exe Metal E-Jay 1_Setup.exe Metal E-Jay 3_Installation.exe Michael Jackson - Radio mix.wma.exe Modem Overclocker Full.exe Norton Antivirus 2003_Setup.exe Paul van Dyk -_Track12.wma.exe PC-Cillin 2003 Installation.exe Pearl Harbor.Xvid.SVCD.avi.exe Pearl Harbor.Xvid.SVCD.mov.exe Playstation XP.NT.2K.9x Emulator_.exe Queen -_Track10.wma.exe R&B Mix 1 - Chipmunc mix.mp3.exe R&B Mix 4 -_You Hate.mp3.exe R&B Mix 4_- Secret Track.ogg.exe Resident Evil.DCF32.SVCD.mov.exe Resident Evil.Divx.AVI.mov.exe Resident Evil.Divx.DVD.dat.exe Rollerball.Xvid.AVI.dat.exe Rollerball.Xvid.AVI.mpg.exe Ronan -_Track05.wma.exe Santana_-_Radio mix.ogg.exe Sash -_Track13.ogg.exe Silver Metal 1 -_You Hate.ogg.exe Tal Bachman - Track08.wma.exe Techno E-Jay 2 .exe Techno E-Jay 3 Full.exe Techno E-Jay 3 Installation.exe The Animatrix.DCF32.SVCD.dat.exe The Animatrix.Divx.DVD.avi.exe The Animatrix.Xvid.DVD.avi.exe The Matrix 2.Mpeg4.DVD.mpg.exe The New Guy.Divx.VCD.mpg.exe The Ring.Divx.SVCD.dat.exe Total E-Jay 1 Full.exe TotaE-Jay 1_.exe U2_-_Simpsons mix.ogg.exe World of Dance 1 -_Track07.mp3.exe World of Dance 5 - You Hate.wav.exe * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Naco.A. Se propaga por redes P2P y por correo _____________________________________________________________ http://www.vsantivirus.com/naco-a.htm Nombre: W32/Naco.A Tipo: Gusano de Internet (P2P) Alias: W32/Naco@MM, W32/Naco@mm, Troj/Naco, I-Worm.Anacon Fecha: 19/may/03 Tamaño: 29,184 bytes Plataforma: Windows 32-bit El gusano, escrito en Visual Basic y comprimido con la utilidad UPX, se propaga vía correo electrónico y a través de las redes de intercambio de archivos entre usuarios, como KaZaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire y otras. También puede utilizar para su propagación, los recursos compartidos en redes. Posee características de caballo de Troya, lo que compromete la seguridad del usuario de la computadora infectada, al poder tomar un intruso el control total sobre ésta. Una vez en memoria, el gusano es capaz de desactivar y borrar los programas antivirus y cortafuegos que estuvieran activos en memoria, dejando a la máquina indefensa. El gusano puede llegar en un mensaje como el siguiente: Asunto: [uno de los siguientes] [AQTE News] Acheh Issue: What Solution! Alert! W32.HLLW.Anacon@mm Worm Has been detected! Al-Jazeera: AQTE Come back! Al-Qaeda News: Bombing Mission Success! Al-Qaeda Team Entertainment News Check This Out! Do you happy? Download New 256-Bit Encryption Software Get free update Microsoft Windows Media Player Hi, may I read your mind? How to Protect you PC from Hackers! Iraqi people don't want US Control. Let's Iraqi people build their country. Osama Bin Laden Come Back! Re: can mali can! Register you Windows Now! Riyadh Issue: Al-Qaeda vs FBI Saddam Hussein Still alive TIPS: How to hide your IP Address! Texto del mensaje: Hi dear, Once I was first saw you, I was fall in love! Even you are already has special friend! Fall In Love, Rekcahlem ~=~ Anacon Datos adjuntos: Anakon.jpg El gusano envía un mensaje como ese a toda la libreta de direcciones de la máquina infectada. También busca la presencia de las siguientes carpetas, pertenecientes a conocidos programas de intercambio de archivos: C:\Archivos de programa \KMD\My Shared Folder\ \Kazaa\My Shared Folder\ \KaZaA Lite\My Shared Folder\ \Morpheus\My Shared Folder\ \Grokster\My Grokster\ \BearShare\Shared\ \Edonkey2000\Incoming\ \limewire\Shared\ En aquellas carpetas que encuentre, se copiará con los siguientes nombres: About SARS Solution.doc.exe Dont eat pork.. SARS in there.jpg.exe EmpireEarthII.msi.exe Installer.exe jdbgmgr.exe Jonny English (JE).avi.exe JumpingJumping.exe Mesmerize.exe MSVisual C++.exe Nokia8250Series.exe Q544512.exe Setup.exe SEX_HOT.exe SuperMarioBrother.exe The Matrix Reloaded.jpg.exe WindowsUpdate.exe WindowsXP PowerToys.exe WMovie Maker II.exe X-Men II Trailer.mpg.exe YoungAndNotTooDangerous.exe El gusano posee código para activarse como un troyano de acceso remoto por puerta trasera, capaz de recibir instrucciones de un atacante. En su código, puede encontrarse el siguiente texto: I WARN TO YOU! DON'T PLAY STUPID WITH ME! ANACON MELHACKER WILL SURVIVE!, Anacon, Melhacker, Dincracker, PakBrain and AQTE Anacon G0t ya! By Melhacker - The Real Hacker! El gusano se copia con el siguiente nombre: c:\windows\system\Anacon.exe NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Luego crea las siguientes entradas, para ejecutarse en el inicio de Windows y para compartir la unidad C con otras unidades como un recurso: HKLM\Software\Microsoft\Windows\CurrentVersion\Run AHU = c:\windows\system\Anacon.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Hvewsveqmg = c:\windows\system\Anacon.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run Cvfjx = c:\windows\system\Anacon.exe HKLM\System\ControlSet001\Services\lanmanserver\Shares HACKERz = "" HKLM\System\ControlSet002\Services\lanmanserver\Shares HACKERz = "" HKLM\System\CurrentControlSet\Services\lanmanserver\Shares HACKERz = "" Luego busca la presencia de los siguientes procesos en memoria. Si los encuentra los desactiva y luego crea las modificaciones necesarias en el archivo WINNINIT.BAT que se ejecuta luego de un reinicio de Windows, para borra los ejecutables asociados. _Avp32.exe _Avpcc.exe _Avpm.exe Ackwin32.exe Anti-Trojan.exe Apvxdwin.exe Autodown.exe Avconsol.exe Ave32.exe Avgctrl.exe Avkserv.exe Avnt.exe Avp.exe Avp32.exe Avpcc.exe Avpdos32.exe Avpm.exe Avptc32.exe Avpupd.exe Avsched32.exe Avwin95.exe Avwupd32.exe Blackd.exe Blackice.exe Cfiadmin.exe Cfiaudit.exe Cfinet.exe Cfinet32.exe Claw95.exe Claw95cf.exe Cleaner.exe Cleaner3.exe Dvp95.exe Dvp95_0.exe Ecengine.exe Esafe.exe Espwatch.exe f-Agnt95.exe Findviru.exe f-Prot.exe Fprot.exe f-Prot95.exe Fp-Win.exe Frw.exe f-Stopw.exe Iamapp.exe Iamserv.exe Ibmasn.exe Ibmavsp.exe Icload95.exe Icloadnt.exe Icmon.exe Icsupp95.exe Icsuppnt.exe Iface.exe Iomon98.exe Jedi.exe Lockdown2000.exe Lookout.exe Luall.exe Moolive.exe Mpftray.exe N32scanw.exe Navapw32.exe Navlu32.exe Navnt.exe Navw32.exe Navwnt.exe Nisum.exe Nmain.exe Normist.exe Nupgrade.exe Nvc95.exe Outpost.exe Padmin.exe Pavcl.exe Pavsched.exe Pavw.exe Pccwin98.exe Pcfwallicon.exe Persfw.exe Rav7.exe Rav7win.exe Regedit.exe Rescue.exe Safeweb.exe Scan32.exe Scan95.exe Scanpm.exe Scrscan.exe Serv95.exe Smc.exe Sphinx.exe Sweep95.exe Tbscan.exe Tca.exe Tds2-98.exe Tds2-Nt.exe Vet95.exe Vettray.exe Vscan40.exe Vsecomr.exe Vshwin32.exe Vsstat.exe Webscanx.exe Wfindv32.exe Zonealarm.exe * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\Anacon.exe c:\windows\Wininit.ini Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: AHU 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Hvewsveqmg 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Cvfjx 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \ControlSet001 \Services \lanmanserver \Shares 9. Pinche en la carpeta "Shares" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: HACKERz 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \ControlSet002 \Services \lanmanserver \Shares 11. Pinche en la carpeta "Shares" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: HACKERz 12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services \lanmanserver \Shares 13. Pinche en la carpeta "Shares" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: HACKERz 14. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1048 Año 7, Miércoles 21 de mayo de 2003