| Asunto: | VSantivirus No. 1817 Año 9, martes 28 de junio de 2005 | | Fecha: | Martes, 28 de Junio, 2005 05:24:01 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1817 Año 9, martes 28 de junio de 2005
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Nueva versión del Bagle se reproduce por Internet
2 - Empresas estadounidenses pierden miles de datos
3 - W32/VB.D. Se propaga por redes P2P como falso programa
4 - W32/Crypt.E. Usa redes P2P, simula ser un instalador
_____________________________________________________________
1 - Nueva versión del Bagle se reproduce por Internet
_____________________________________________________________
http://www.vsantivirus.com/ev-28-06-05.htm
Nueva versión del Bagle se reproduce por Internet
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
La familia de los Bagle se ha caracterizado por ser una de las
de mayor propagación en los últimos tiempos, junto a otros
gusanos como Sober, Zafi, Mytob y Netsky.
De la misma forma que versiones anteriores, esta nueva versión
del Bagle, detectada como Win32/Bagle.BI por NOD32, fue
enviada en forma masiva a varios miles de direcciones de
correo electrónico de Internet, como un troyano capaz de
descargar al gusano propiamente dicho.
Bagle puede detener los procesos de varios antivirus una vez
infectado el equipo. Además, trata de borrar las referencias a
los monitores residentes de varios productos de seguridad para
que no sean capaces de ejecutarse cuando el equipo es
reiniciado.
NOD32, fue capaz de detectar esta nueva versión del gusano
gracias a su Heurística Avanzada, por lo que los usuarios del
antivirus de Eset estuvieron siempre protegidos, sin necesidad
de aguardar una actualización de firmas. Esto brindó una
completa protección preventiva desde las primeras horas de la
aparición del Bagle.BI.
Este nuevo integrante de la familia Bagle puede llegar a las
computadoras de los usuarios como un mensaje cualquiera con un
ejecutable como adjunto, que al ser abierto descargará al
verdadero gusano y lo copiará como un archivo DLL en los
directorios del sistema. Este DLL se inyectará como un proceso
de Windows.
En Virus-Radar.com, el servicio de monitoreo y estadísticas de
virus de correo electrónico de Eset, el nuevo Bagle comenzó a
ser detectado en las primeras horas del domingo 26 de junio, a
través de la Heurística Avanzada de NOD32. El gusano trepó
rápidamente a las primeras posiciones del ranking de virus más
detectados de las últimas 24 horas.
Como las estadísticas del sitio son actualizadas en tiempo
real, puede verse en el siguiente enlace, que en las primeras
horas del martes 28 todavía ocupa la segunda posición con
65,881 mensajes infectados, aún cuando su propagación ha
disminuido:
http://www.virusradar.com/stat_01_current/index_all_esn.html
Es posible surjan nuevas versiones en los próximos días,
debido a que el archivo descargado de Internet, puede ser
fácilmente modificado por el autor. Por esa razón, es siempre
importante que los usuarios no abran archivos adjuntos de
aquellos mensajes de correo electrónico que no hayan sido
solicitados, y que mantengan su antivirus siempre actualizado.
* Más información:
W32/Bagle.BI. Elimina antivirus y descarga archivos
http://www.vsantivirus.com/bagle-bi.htm
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en
VSAntivirus.com con la respectiva autorización. Los derechos
de republicación para su uso en otro medio, deberán
solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
www.enciclopediavirus.com/noticias/verNoticia.php?id=554
* Sobre NOD32: Video Soft, empresa creadora del sitio
VSAntivirus, representa de forma exclusiva en Uruguay al
antivirus NOD32 (marca registrada de Eset). Más información:
http://www.nod32.com.uy/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Empresas estadounidenses pierden miles de datos
_____________________________________________________________
http://www.vsantivirus.com/mm-28-06-05.htm
Los robos y pérdidas de información de personas son frecuentes
también en España pero no se denuncian.
Por Mercè Molist (*)
colaboradores@videosoft.net.uy
Desde principios de año, importantes empresas de Estados
Unidos han perdido o les han robado bases de datos con
información de millones de personas. Lo que a primera vista
parece una oleada es, según los expertos, algo normal. La
diferencia está en que nadie lo denunciaba, hasta la aparición
de una ley en California que obliga a las empresas que sufran
fugas a darlo a conocer públicamente.
La ley californiana "Security Breach Information Act" ha
destapado la caja de los truenos de una situación hasta ahora
subterránea: los frecuentes robos y pérdidas de bases de datos
en todo tipo de empresas e instituciones de Estados Unidos. La
ley, que entró en vigor a mediados del año pasado, obliga a
las empresas que realicen negocios en California a avisar a
los usuarios en caso de que la información que almacenan sobre
ellos sea comprometida.
A raíz de su entrada en vigor, empezó una ola de
notificaciones de robos y pérdidas de datos personales que ha
sacudido la opinión pública y ha provocado que el congreso
norteamericano estudie poner en marcha leyes parecidas para
todo el país. El último caso, la semana pasada, cuando alguien
robó datos de los titulares de 40 millones de tarjetas de
crédito de entidades financieras como MasterCard, Visa o
American Express.
Los casos destapados desde principios de año muestran que la
mayoría de empresas ven comprometidas sus bases de datos
informáticas de tres formas: por la pérdida de discos de
"back-up", que suele gestionar una tercera empresa, por la
entrada de intrusos o los propios empleados en los sistemas
informáticos y por el robo de ordenadores.
La desaparición de "back-ups" ha afectado a pesos pesados como
Citibank, que a principios de junio perdía los datos de 3,9
millones de clientes; el Bank of America, que en febrero
perdía información financiera de 1,2 millones de personas; el
programa gubernamental SmartPay, con más de un millón de
clientes afectados; la firma Ameritrade, que perdió en abril
los datos de 200.000 clientes, y Time Warner, cuyas cintas de
"back-up" con datos de 600.000 empleados se volatilizaban en
mayo, durante un transporte.
En cuanto a la entrada en sistemas informáticos, el Bank of
America, junto a otros grandes bancos, es protagonista de uno
de los mayores robos de datos bancarios en EEUU. A finales de
mayo se supo que empleados de estos bancos vendieron
información de más de 670.000 clientes.
En febrero, diversas personas se hicieron pasar por clientes
de ChoicePoint para entrar en sus sistemas y llevarse nombres,
direcciones, números de Seguridad Social e informes
financieros de 140.000 usuarios. En marzo, se descubría que
habían usado el mismo truco con Seisint, una filial de
LexisNexis, para llevarse datos de 310.000 personas. El mismo
mes, la empresa de calzado DSW notificaba que les habían
robado los números y nombres asociados a un millón y medio de
tarjetas de crédito.
Las universidades son blanco frecuente de los intrusos
informáticos. Sólo en los últimos tres meses, la Universidad
Estatal de California, el Boston College, la Universidad
George Mason y la Universidad Carnegie Mellon han sufrido
robos de información de miles de alumnos y empleados. Un
acceso no autorizado al proveedor de telefonía móvil T-Mobile
comprometía los datos de 400 clientes, entre ellos estrellas
de Hollywood cuyos números de teléfono se hicieron públicos en
Internet.
En cuanto al robo de ordenadores, hace unas semanas
desaparecía un portátil de MCI, con información personal de
16.500 empleados. En abril, robaban dos máquinas del San José
Medical Group, con información médica y financiera de 185.000
pacientes. En marzo, un contratista del gobierno, Science
Applications International Corp, sufría el robo de diversos
ordenadores con detalles sobre empleados actuales y pasados,
entre ellos secretarios de Defensa y directivos de la CIA.
También en marzo, el robo de un ordenador portátil de la
Universidad de Berkeley comprometía la información personal de
98.000 personas. La misma universidad había sufrido, en agosto
del año pasado, una entrada en sus sistemas de donde se
llevaron una base de datos con más de un millón de registros.
* La situación en España
Estados Unidos siempre ha destacado por su permisiva
legislación en protección de datos, que empieza a cambiar para
acercarse a la normativa europea, más proteccionista. Esta
laxitud sería la explicación del desbarajuste en sus bases de
datos. Pero, según los expertos consultados por Ciberp@is, la
situación no es mejor en España, sólo que aquí las empresas no
están obligadas a hacer públicas las fugas.
A nivel europeo, el caso más sonado ha sucedido en el Banco
Central de Rusia, donde en cuatro meses les han robado dos
veces las bases de datos, que contienen todas sus operaciones
en los últimos dos años. Se venden en el mercado negro por
3.000 rublos (85 euros).
En España, el caso más reciente ha sido el Hospital de
Leganés, que estos días se somete a una auditoria informática,
después de detectarse "accesos atípicos", como la manipulación
y el intento de borrado de algunos registros de sus bases de
datos de pacientes.
Según Daniel Cruz, responsable del Departamento de
Planificación de Seguridad de esCERT/InetSecur, "los robos de
datos con información personal suceden también en España,
donde siempre ha existido un mercado de datos. Mucha veces no
son robos de terceros sino que las fugas provienen de la
propia organización, por errores voluntarios o involuntarios".
El motivo de estos robos, cada vez más frecuentes según Cruz,
suele ser "obtener datos de los clientes de la competencia".
Albert Gabás, gerente de Astabis Data Management y miembro del
Chaos Computer Club, explica: "Las bases de datos españolas no
son más seguras que las americanas. Aquí siempre se ha pagado
a "crackers" para obtenerlas: en su día daban bastantes
millones por la base de datos de una importante operadora de
móviles". Gabás recuerda que "casi toda intrusión en un
sistema lleva asociado el acceso a la base de datos de
usuarios y contraseñas. Las webs de sexo son uno de los
principales objetivos, porque tienen suculentos listados de
tarjetas de crédito y poca seguridad".
Mariano José Benito, Director del Departamento de Seguridad de
SGI Soluciones Globales Internet, explica: "Al no ser
denunciados, no hay estadísticas fiables de estos robos en
España, pero la sensación general es que hay incidentes de
este tipo con cierta frecuencia y que han tenido lugar en buen
número de compañías de todos los sectores, desde grandes
empresas a PYMES". Según Benito, el origen son "'spammers', la
competencia e incluso mafias, muy a menudo transnacionales. Se
conocen casos de intentos de estafa basados en datos
financieros de un fichero robado".
* Una ley estricta, pero poco acatada
La Ley Orgánica de Protección de Datos española es considerada
una de las más estrictas del mundo. La Agencia de Protección
de Datos se encarga de su cumplimiento. Jesús Rubí, adjunto al
director de la Agencia, explica: "Hemos investigado pérdidas
de bases de datos durante un transporte, su aparición en la
vía pública, robos por parte de un ex socio o empleado, en
entidades financieras, hospitales, empresas y
administraciones".
Las multas son ejemplares: entre 60.000 y 300.000 euros, por
no tener implantadas las medidas de seguridad de protección de
datos, y entre 300.000 y 600.000 euros, en caso de pérdida de
datos de nivel alto, como la información médica. Según Rubí,
"hay un conocimiento creciente de la normativa y su
aplicación. Las grandes corporaciones, que tienen las bases de
datos más grandes y complejas, ya cuentan con políticas al
respecto".
El problema, dice, son las PYMES y los pequeños y medianos
ayuntamientos. Lo confirma Albert Gabás: "En la mayoría de
PYMES no desconfían de sus empleados ni de los informáticos
externos, muchas veces sin relación contractual ni cláusulas
de confidencialidad, permiten que todos puedan acceder a todo
y no hay ningún control. Pocas cumplen la ley".
Daniel Cruz afirma: "El cumplimiento de la LOPD es escaso. El
porcentaje de organizaciones que tienen inscritos sus ficheros
en la Agencia de Protección de Datos no supera el 10% y la
inscripción es la fase más sencilla. En cuanto al Reglamento
de Medidas de Seguridad, su implantación tampoco es la
adecuada porque, en el caso de ficheros de nivel alto, el
proceso es complicado y costoso para las pequeñas empresas y,
en general, las organizaciones descuidan la gestión de su
seguridad".
Mariano José Benito añade: "Los hospitales, compañías de
seguros médicos, sindicatos, partidos políticos, agrupaciones
religiosas, tienen en su poder datos del nivel más alto, que
requieren medidas de protección muy estrictas y caras. La
tentación está ahí. En el sector de la sanidad no tengo
constancia de incumplimiento. En el caso de las PYMES, suele
deberse a desconocimiento".
El problema, según Benito, no es que la normativa sea
complicada sino que "la complicación está en la propia
organización: en muchos casos no queda claro quién se encarga
de qué, en otros las tareas se interfieren entre sí". De todos
modos, dice, "la tendencia general es positiva".
Otro caballo de batalla es la cesión de datos entre empresas,
donde en algunos casos se intenta abusar, explica: "La cesión
sucesiva de datos entre organizaciones hacen que un ciudadano
no pueda saber cómo una entidad desconocida para él tiene sus
datos. Además, hay pequeñas empresas que dan a sus clientes la
falsa confianza de cumplir la ley, cuando sólo lo hacen desde
el aspecto legal, pero no de los controles tecnológicos".
Daniel Cruz critica que la normativa vigente no garantiza la
confidencialidad de las bases de datos: "Es fundamental el
cifrado de toda la información, en cualquiera de las etapas
del ciclo, desde su entrada, pasando por el almacenamiento y
transporte". El reglamento actual sólo exige cifrado en el
transporte de información de nivel alto. Si los datos robados
en Estados Unidos hubiesen estado cifrados, se habrían evitado
muchos problemas.
* Lo que pide la ley en España
El Real Decreto 994/99, al que deberá adaptarse el actual
Reglamento de Medidas de Seguridad, especifica las medidas
mínimas que una organización que maneje datos personales debe
tener implantadas:
- Correctos sistemas de identificación de usuarios (correcta
gestión de privilegios de usuarios y de las contraseñas de los
mismos)
- Cifrado de las informaciones así como de las comunicaciones
- Copias de seguridad correctas y con la periodicidad
adecuada.
- Cuidado con las informaciones que las organizaciones puedan
tener en soporte papel.
* Por qué las empresas no denuncian el robo de datos
El Computer Security Institute realizó el año pasado una
encuesta a 276 compañías de EEUU para saber por qué no
denunciaban a las fuerzas de la ley los robos en sus bases de
datos. Las respuestas pueden extrapolarse al caso español.
51%. Por la mala publicidad
35%. Por miedo a que la competencia se aproveche del incidente
20%. Porque un remedio interno parece la mejor opción
18%. Por desconocimiento del interés de las fuerzas de la ley
en estos casos
(*) Copyleft 2005 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any medium, provided this notice is
preserved.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/VB.D. Se propaga por redes P2P como falso programa
_____________________________________________________________
http://www.vsantivirus.com/vb-d.htm
Nombre: W32/VB.D
Nombre NOD32: Win32/VB.D
Nombres más conocidos: Alcan.D, Alcra.B
Tipo: Gusano de Internet (P2P)
Alias: VB.D, Alcan.D, Alcra.B, Trojan.FakeSetup, W32.Alcra.B,
W32/Alcan.A.worm, W32/VB.an, W32/VB.D, W32/VB.YO-tr,
Win32.Alcan.D, Win32.Worm.VB.AN, Win32/Alcan.C!Worm,
Win32/VB.D, Worm.Win32.VB.an
Fecha: 21/jun/05
Tamaño: 872,159 bytes
Gusano que se propaga por redes P2P, disfrazado como alguna
utilidad o programa. Siempre aparece en un archivo .ZIP con el
nombre de algún programa conocido, y en su interior un
ejecutable llamado SETUP.EXE.
Cuando se ejecuta, para engañar al usuario muestra la ventana
de un supuesto instalador, pero al comenzar dicho proceso,
aparecerá una ventana de error falsa con el siguiente texto,
donde se anuncia que la versión del programa ha expirado:
Setup
Version has expired please download software update
[ OK ]
Mientras ello ocurre, el gusano crea los siguientes archivos:
[Archivos de programa]\winupdates\winupdates.exe
[Archivos de programa]\winupdates\z.tmp
[Archivos de programa] puede ser la carpeta "c:\archivos de
programa" o "c:\program files"
Modifica el registro de Windows para autoejecutarse en cada
reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winupdates =
"[Archivos de programa]\winupdates\winupdates.exe /auto"
El gusano también crea el siguiente archivo temporal, el cuál
no contiene código malicioso:
[Archivos de programa]\winupdates\bszd?????.tmp
Donde "?????" son números al azar. Este archivo suele ser
borrado por el propio gusano si finaliza su ejecución.
El gusano busca carpetas cuyos nombres coincidan con algunos
de los textos de la siguiente lista:
donkey2000\Incoming
earshare\Shared
eMule\Incoming
gnucleus\downloads
grokster\my grokster
Kazaa\My Shared Folder
Limewire\Shared
morpheus\My Shared Folder
My Shared Folder
rapigator\share
res\My Shared Folder
shareaza\downloads
El gusano se copia en dichas carpetas con nombres al azar
obtenidos de la siguiente manera:
1. Descarga una lista de nombres de archivos, de páginas del
servidor http:://www.phazeddl.com, y la copia con los
siguientes nombres en el disco del equipo infectado:
c:\a.txt
c:\b.txt
[etc.]
2. Crea una copia de si mismo en formato .ZIP, con tamaños
variables. La copia la realiza en la siguiente ubicación:
[Archivos de programa]\winupdates\a.zip
3. Dicho archivo es copiado luego con algunos de los nombres
de archivos de las listas obtenidas antes en las carpetas
mencionadas al principio. El archivo ZIP siempre contiene el
gusano con el nombre de SETUP.EXE.
Aunque el archivo descargado puede tener diferentes tamaños (2
Mb o más), el gusano en si mismo, tiene un tamaño de 872,159
bytes.
Con la intención de deshabilitar ciertas herramientas de
Windows, el gusano también crea los siguientes archivos, con
los atributos de oculto (+H) y de sistema (+S):
c:\windows\system32\cmd.com
c:\windows\system32\netstat.com
c:\windows\system32\ping.com
c:\windows\system32\regedit.com
c:\windows\system32\taskkill.com
c:\windows\system32\tasklist.com
c:\windows\system32\taskmgr.exe
c:\windows\system32\tracert.com
Estos archivos no son maliciosos y tampoco muestran ninguna
ventana o mensaje, pero debido a que los archivos .COM tienen
preferencia a la hora de ejecutarse, los archivos legítimos de
Windows con el mismo nombre pero extensión .EXE, no se
ejecutan si el usuario no escribe el nombre completo. Por
ejemplo, si solo teclea REGEDIT, se ejecutará el REGEDIT.COM
(que no hace nada), y nunca será abierto el verdadero editor
del registro. Para que ello ocurra, se debe teclear
específicamente REGEDIT.EXE.
Solo en el caso de TASKMGR.EXE (el Administrador de tareas en
Windows XP y otras versiones), el archivo original es
directamente sobrescrito por otro de igual nombre y solo 2
bytes, inutilizándolo.
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows XP
y Windows Server 2003, como "c:\winnt\system32" en Windows NT
y 2000 y "c:\windows\system" en Windows 9x y ME).
El gusano puede descarga también otros malwares (adwares y
spywares), de direcciones como las siguientes:
members.chello.be
members.chello.nl
* Reparación manual
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
También borre los siguientes archivos:
c:\windows\system32\cmd.com
c:\windows\system32\netstat.com
c:\windows\system32\ping.com
c:\windows\system32\regedit.com
c:\windows\system32\taskkill.com
c:\windows\system32\tasklist.com
c:\windows\system32\taskmgr.exe
c:\windows\system32\tracert.com
IMPORTANTE: No borre los archivos de igual nombre pero
extensión .EXE, borre los .COM aquí indicados. En cambio, si
debe borrar el archivo TASKMGR.EXE, aunque solo si tiene un
tamaño de dos bytes. El legítimo TASKGMR.EXE (el Administrador
de Tareas de Windows XP), deberá ser restaurado luego de esto.
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT.EXE y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Crypt.E. Usa redes P2P, simula ser un instalador
_____________________________________________________________
http://www.vsantivirus.com/crypt-e.htm
Nombre: W32/Crypt.E
Nombre NOD32: Win32/Crypt.E
Nombres más conocidos: Alcan.B, Alcan.C
Tipo: Gusano de Internet (P2P)
Alias: Crypt.E, Alcan.B, Alcan.C, Crypt.B, Downloader-EA,
TR/Crypt.E, Trj/Downloader.CZU, Trojan.Crypt.E,
Trojan.Win32.Crypt.e, Trojan.Winupd,
Trojan/Downloader.Delf.CQ, W32.Spybot.Worm, W32/Crypt.E,
W32/Crypt.E-tr, Win32.Alcan.B, Win32.Alcan.B!ZIP,
Win32.Alcan.C, Win32/Alcan.B!ZIP!Trojan, Win32/Crypt.E,
Win32/Rbot.CPQ!Dropper, Win32:Crypt
Fecha: 13/jun/05
Tamaño: 801,792 bytes
Gusano que se propaga por redes P2P, disfrazado como alguna
utilidad o programa. Siempre aparece en un archivo .ZIP con el
nombre de algún programa conocido, y en su interior un
ejecutable llamado SETUP.EXE.
Cuando se ejecuta, para engañar al usuario muestra la ventana
de un supuesto instalador, pero al comenzar dicho proceso,
aparecerá una ventana de error falsa con el siguiente texto,
donde se anuncia que la versión del programa está "fuera de
fecha", y que se debe descargar una versión actualizada:
Setup
This version is outdated please download update from vendor
[ OK ]
Mientras ello ocurre, el gusano crea los siguientes archivos:
[Archivos de programa]\winupdate\winupdate.exe
c:\z.tmp
[Archivos de programa] puede ser la carpeta "c:\archivos de
programa" o "c:\program files"
Modifica el registro de Windows para autoejecutarse en cada
reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winupdate =
"[Archivos de programa]\winupdate\winupdate.exe /auto"
El gusano también crea el siguiente archivo, el cuál no
contiene código malicioso:
c:\windows\system32\bszip.dll
Este archivo es utilizado para crear los archivos .ZIP que el
gusano utiliza para propagarse.
El gusano busca carpetas cuyos nombres coincidan con algunos
de los textos de la siguiente lista:
donkey2000\Incoming
earshare\Shared
eMule\Incoming
gnucleus\downloads
grokster\my grokster
Kazaa\My Shared Folder
Limewire\Shared
morpheus\My Shared Folder
My Shared Folder
rapigator\share
res\My Shared Folder
shareaza\downloads
shared
El gusano se copia en dichas carpetas con nombres al azar
obtenidos de la siguiente manera:
1. Descarga una lista de nombres de archivos, de páginas del
servidor http:://???cracks.net, y la copia con los siguientes
nombres en el disco del equipo infectado:
c:\x.txt
c:\z.txt
2. Crea una copia de si mismo en formato .ZIP, con tamaños
variables. La copia la realiza en la siguiente ubicación:
c:\temp.zip
3. Dicho archivo es copiado luego con algunos de los nombres
de archivos de las listas obtenidas antes en las carpetas
mencionadas al principio. El archivo ZIP siempre contiene el
gusano con el nombre de SETUP.EXE.
Aunque el archivo descargado puede tener diferentes tamaños (2
Mb o más), el gusano en si mismo, tiene un tamaño de 801,792
bytes.
Con la intención de deshabilitar ciertas herramientas de
Windows, el gusano también crea los siguientes archivos, con
los atributos de oculto (+H) y de sistema (+S):
c:\windows\system32\cmd.com
c:\windows\system32\netstat.com
c:\windows\system32\ping.com
c:\windows\system32\regedit.com
c:\windows\system32\taskkill.com
c:\windows\system32\tasklist.com
c:\windows\system32\taskmgr.exe
c:\windows\system32\tracert.com
Estos archivos no son maliciosos y tampoco muestran ninguna
ventana o mensaje, pero debido a que los archivos .COM tienen
preferencia a la hora de ejecutarse, los archivos legítimos de
Windows con el mismo nombre pero extensión .EXE, no se
ejecutan si el usuario no escribe el nombre completo. Por
ejemplo, si solo teclea REGEDIT, se ejecutará el REGEDIT.COM
(que no hace nada), y nunca será abierto el verdadero editor
del registro. Para que ello ocurra, se debe teclear
específicamente REGEDIT.EXE.
Solo en el caso de TASKMGR.EXE (el Administrador de tareas en
Windows XP y otras versiones), el archivo original es
directamente sobrescrito por otro de igual nombre y solo 2
bytes, inutilizándolo.
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows XP
y Windows Server 2003, como "c:\winnt\system32" en Windows NT
y 2000 y "c:\windows\system" en Windows 9x y ME).
El gusano puede descarga también otros malwares (adwares y
spywares), de la siguiente dirección:
members.chello.nl
Los archivos descargados, los copia con los siguientes nombres
(que luego renombra y ejecuta):
c:\a.tmp
c:\b.tmp
También descarga otro troyano de la familia RBOT en la
siguiente ubicación:
c:\xz.exe
* Reparación manual
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
También borre los siguientes archivos:
c:\windows\system32\cmd.com
c:\windows\system32\netstat.com
c:\windows\system32\ping.com
c:\windows\system32\regedit.com
c:\windows\system32\taskkill.com
c:\windows\system32\tasklist.com
c:\windows\system32\taskmgr.exe
c:\windows\system32\tracert.com
IMPORTANTE: No borre los archivos de igual nombre pero
extensión .EXE, borre los .COM aquí indicados. En cambio, si
debe borrar el archivo TASKMGR.EXE, aunque solo si tiene un
tamaño de dos bytes. El legítimo TASKGMR.EXE (el Administrador
de Tareas de Windows XP), deberá ser restaurado luego de esto.
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT.EXE y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados, simplemente
ejecutamos esos antivirus en su opción de escaneo, sobre la
carpeta que contenga los archivos a revisar). Y por supuesto,
de nada vale usar algún antivirus si no lo mantenemos
actualizado con los upgrades, updates o add-ons
correspondientes. Actualmente, las actualizaciones de la
mayoría de los fabricantes son diarias. No existen los "virus
demasiados nuevos y sin antídotos", la reacción de las casas
de antivirus es inmediata en todos los casos. Pero mejor
pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga referencias
de seriedad, o que no sean medianamente conocidos. Y si se
bajan archivos, proceder como los archivos adjuntos. Copiarlos
a una carpeta y revisarlos con dos o tres antivirus
actualizados antes de optar por ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos el
permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo a
la política de Copyright adoptada por cada uno de ellos, y su
inclusión en nuestro boletín se rige por dichas políticas, sin
embargo, para su uso en otro medio, se deberá solicitar la
debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 1817 Año 9, martes 28 de junio de 2005
|
VSantivirus No. 18
Responder a este mensaje
