Mostrando mensaje 118     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1069 Año 7, Miércoles 11 de junio de 2003 Fecha: Miercoles, 11 de Junio, 2003  20:31:54 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1069 Año 7, Miércoles 11 de junio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - El FBI tras el Bugbear.B 2 - W32/Backzat.H. Borra el sector de booteo y antivirus 3 - Troj/Downloader.Checkin. Adware y downloader 4 - W32/Sluter.A. Se propaga por el puerto 445 (W2K, XP) 5 - W32/Backzat.G (Kirbo.A). Se propaga por redes P2P e IRC _____________________________________________________________ 1 - El FBI tras el Bugbear.B _____________________________________________________________ http://www.vsantivirus.com/ar-11-06-03.htm El FBI tras el Bugbear.B Por Angela Ruiz angela@videosoft.net.uy Una de las características del nuevo BugBear, su posibilidad de identificar hasta 1375 direcciones de Internet pertenecientes a instituciones bancarias, parece preocupar al FBI. Según informan agencias internacionales, el FBI ha iniciado una investigación sobre este peculiar gusano, que tal vez sea uno de los que más se han propagado en la historia de los virus. "Este [virus] parece tener como objetivo principal las instituciones financieras", expresó a varias agencias de noticias Bill Murray, portavoz del FBI. Las estadísticas de esta oficina federal estadounidense registran más de 200,000 sistemas infectados por el gusano. En el código del gusano pueden encontrarse más de 1375 direcciones [ver http://www.vsantivirus.com/bugbear-b- bancos.htm]. BugBear detecta cuando una máquina infectada pertenece a una de esas direcciones, e intenta modificar su código para hacer que la misma autodisque al último número telefónico al que haya accedido vía módem. Algunos aventuran que este procedimiento es para acceder a recursos dentro de la red informática de los bancos que no son accesibles comúnmente desde Internet. Las intenciones pueden ser tanto infectarlas, como robar información confidencial apelando a sus características de troyano. Y esta es la posibilidad que preocupa al FBI. Murray dice que no hay información si algún banco ha reportado la filtración de alguna información crítica, pero lo cierto es que el gusano puede robar información y enviarla por correo electrónico a sus autores. Para la mayoría de las empresas antivirus, el nivel de alerta de este virus ha sido elevado al máximo. Una de las razones que hace que su propagación haya sido tan impresionante, es su capacidad de disfrazar de mil maneras sus mensajes, haciéndonos creer que es enviado por conocidos. Además, el gusano tiene características polimórficas (cambia de forma en cada infección). Otro hecho que debería preocuparnos, es que el gusano también es capaz de revelar información privada de sus víctimas, al reenviar mensajes personales de las computadoras infectadas. Recuerde, no abra NINGUN adjunto no solicitado, y tenga actualizado su sistema operativo y su antivirus. * Más información: W32/Bugbear.B. Peligroso gusano de gran propagación http://www.vsantivirus.com/bugbear-b.htm Listado de bancos incluidos en el código del Bugbear.B http://www.vsantivirus.com/bugbear-b-bancos.htm W32/Bugbear.B.dam. La versión "dañada" del Bugbear.B http://www.vsantivirus.com/bugbear-b-dam.htm Troj/PSWBugbear.B. El troyano del Bugbear.B http://www.vsantivirus.com/pswbugbear-b.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Backzat.H. Borra el sector de booteo y antivirus _____________________________________________________________ http://www.vsantivirus.com/backzat-h.htm Nombre: W32/Backzat.H Tipo: Gusano de Internet (P2P) Alias: Win32/Backzat.H, W32/Backzat-K, I-Worm.BatzBack.i, WORM_BACKZAT.A, W32/Backzat, W32/BatzBack, I.worm.BatzBack Fecha: 11/jun/03 Tamaño: 25,088 bytes (UPX), 61,440 bytes Plataforma: Windows 32-bits Este gusano escrito en Visual C++ y comprimido con la utilidad UPX, intenta propagarse a través de la red de intercambio de archivos KaZaa, usando el Instant Messenger de AOL (AIM), o canales de chat a través del mIRC. También puede copiarse en redes a través de unidades mapeadas. Cada día domingo, ejecuta una peligrosa rutina para borrar el sector de arranque del disco duro (boot), y los archivos de conocidos programas antivirus y cortafuegos que pudieran estar instalados en la máquina infectada. Cuando se ejecuta, crea estos archivos: c:\windows\BatzBack.scr c:\windows\system\BatzBack.scr En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Luego, crea la siguiente clave en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\Current Version\Run BatzBack = c:\windows\BatzBack.scr Para obtener las direcciones de la carpeta utilizada por el KaZaa para el intercambio de archivos, el gusano examina la siguiente entrada: HKEY_CURRENT_USER\Software\Kazaa\ Si existe KaZaa en la máquina infectada, el gusano se copia a si mismo en las siguientes ubicaciones: [carpeta compartida del KaZaa]\EnimEmSpearsBritney.scr Se requiere que esté instalado KaZaA para que funcione. Luego se copia también en: C:\Archivos de programa\AIM95\BuddyShare.exe Si existe una unidad mapeada con letra G a Z, entonces se copia en el raíz de dichas unidades con el nombre (por ejemplo): H:\BatzBack.scr También crea este archivo: C:\Windows\Script.ini Luego busca el archivo "Script.ini" del mIRC (si ese es el software instalado para acceder al chat) y lo sobrescribe con el creado en el directorio raíz. Para localizar la carpeta del mIRC, el gusano examina la siguiente entrada: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Uninstall\mIrc Con los cambios, el gusano se enviará como "Batzback.scr" a cada usuario conectado al mismo canal de IRC que el dueño de la computadora infectada. También crea este archivo con atributos de oculto (+H), y luego lo ejecuta: c:\windows\BatzBack.bat Si el día es domingo, ejecuta este componente para sobrescribir el sector de arranque (boot sector) del disco duro. También intenta borrar todos los archivos en las siguientes carpetas (pertenecen a conocidos antivirus y cortafuegos): \AntiVi~1\*.* \eSafen\*.* \f-macro\*.* \PC-Cil~1\*.* \Progra~1\AntiVi~1\*.* \Progra~1\FindVirus\*.* \Progra~1\FWIN32\*.* \Progra~1\Grisoft\\AVG6\*.* \Progra~1\McAfee\VirusScan\*.* \Progra~1\Norton~1\*.* \Progra~1\Norton~2\*.* \Progra~1\PandaS~1\*.* \Progra~1\QuickH~1\*.* \Progra~1\TrendM~1\*.* \Progra~1\ZoneLa~1\*.* \TBAVW95\*.* \ToolKit\FindVirus\*.* \VS95\*.* * Reparación manual Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: [carpeta compartida del KaZaa]\EnimEmSpearsBritney.scr c:\archivos de programa\aim95\buddyshare.exe c:\windows\batzback.bat c:\windows\batzback.scr c:\windows\script.ini c:\windows\system\batzback.scr X:\batzback.scr La unidad "X" representa cualquier unidad de disco de la G a la Z. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: BatzBack 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Downloader.Checkin. Adware y downloader _____________________________________________________________ http://www.vsantivirus.com/down-checkin.htm Nombre: Troj/Downloader.Checkin Tipo: Caballo de Troya Alias: W32/Checkin, Checkin, TrojanDownloader.Win32.Checkin, TrojanDownloader.Win32.Checkin.a, TrojanDownloader.Win32.Checkin.b Fecha: 10/jun/03 Tamaño: 53,248 bytes Se trata de un adware/downloader que descarga y ejecuta archivos sin conocimiento del usuario. Existen dos variantes de este troyano que se instalan en la carpeta System de Windows. Cualquier intento de borrar directamente estos ejecutables es inútil, puesto que vuelven a aparecer, ya que son liberados por un dropper. El DROPPER (literalmente "cuentagotas"), es cualquier archivo que cuando se ejecuta "gotea" o libera un virus o código malicioso. Por lo general, cuando un "dropper" es escaneado por un antivirus, no se detectará un virus, porque el código viral no ha sido creado todavía. El dropper del Checkin es un archivo de 53,248 bytes, que puede tener cualquier nombre. Las primeras muestras reportadas por el fabricante F-Prot tienen el nombre de TTPS.EXE. La variante A del troyano libera un archivo llamado "SysReg.exe", mientras que la B libera uno llamado "OWMngr.exe". Ambos se instalan generalmente en la carpeta System de Windows, y modifican el registro para autoejecutarse en cada reinicio de la computadora infectada: * Checkin.a HKCU\Software\Microsoft\Windows\CurrentVersion\Run SysReg = c:\windows\system\SysReg * Checkin.b HKCU\Software\Microsoft\Windows\CurrentVersion\Run OWMngr = c:\windows\system\OWMngr.exe Ambas variantes intentan conectarse a varios servidores, y descargar y luego ejecutar determinados archivos. En ambos casos el archivo descargado se llama "Update.exe". La variante A se conecta al servidor "tp.searchseekfind.com", y envía un identificador único con la información para conectarse. La versión B se conecta en cambio a "ads.onwebmedia.com", con las mismas condiciones. También se crean en ambos casos, estas entradas en el registro: HKCU\Software\IExplore\ Ads AID ID LoggedIn El troyano no envía información personal, pero al actuar en forma clandestina e identificarse del modo que lo hace, puede permitir la localización del usuario infectado. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Run 3. Pinche en la carpeta "Run", y en el panel de la derecha, bajo la columna "Nombre", busque y borre las entradas correspondientes al ejecutable del troyano (una u otra de acuerdo a la variante): SysReg OWMngr 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER\Software\IExplore 5. Pinche en la carpeta "IExplore", y borre las siguientes entradas: Ads AID ID LoggedIn 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Sluter.A. Se propaga por el puerto 445 (W2K, XP) _____________________________________________________________ http://www.vsantivirus.com/sluter-a.htm Nombre: W32/Sluter.A Tipo: Gusano de Internet Alias: Worm.Win32.Sluter Fecha: 9/jun/03 Plataforma: Windows NT, 2000, XP y Server 2003 Tamaño: 18 Kb~ Se trata de un gusano, escrito en Microsoft Visual C++ y comprimido con la utilidad UPX, que se propaga a través de recursos compartidos. Cuando un archivo infectado se ejecuta, el gusano modifica el registro para autoejecutarse en cada reinicio del sistema. HKLM\Software\Microsoft\Windows\CurrentVersion\Run superslut = [nombre y ubicación del gusano] El nombre del ejecutable del gusano es variable. La rutina de propagación crea hasta 60 hilos (acciones simultáneas), con las cuáles escanea direcciones IP al azar por el puerto 445. Este puerto permite compartir recursos en Windows 2000, XP y Server 2003, a través del protocolo SMB (Server Message Block). Cuando establece una conexión por ese puerto con alguna computadora, intenta conectarse a los recursos compartidos utilizando contraseñas que son usadas por defecto (esto es factible cuando se hace una instalación del sistema operativo sin tomar las medidas respectivas para no aceptar las opciones por defecto del sistema operativo). Esas contraseñas y nombres de usuario incluyen contraseñas en blanco (solo Enter), o palabras como "admin", "root", "123", etc. El gusano se copia luego en esas máquinas con los siguientes nombres: c$\winnt\system32\msslut32.exe Admin$\system32\msslut32.exe El gusano utiliza facilidades del API de administración remota de Windows NT para ejecutar el archivo en la máquina infectada. Solo funciona en Windows NT, 2000, XP y Server 2003. No posee ninguna característica destructiva. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: superslut 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Backzat.G (Kirbo.A). Se propaga por redes P2P e IRC _____________________________________________________________ http://www.vsantivirus.com/backzat-g.htm Nombre: W32/Backzat.G (Kirbo.A) Tipo: Gusano de Internet Alias: W32/Kirbo.A, WORM_KIRBO.A, Kirby, KirbyFlooder, IRC_KIRBO.A, VBS_KIRBO.A, BAT_KIRBO.A, W32.HLLW.Backzat.G, W32/Backzat.G Fecha: 10/jun/03 Tamaño: 95,232 bytes Plataforma: Windows 32-bit Este gusano se propaga a través de redes Peer-To-Peer, se copia a unidades de disco compartidos en red , y a través del IRC (Internet Relay Chat). Al ejecutarse, crea los siguientes archivos: c:\windows\system\cutekirby.scr c:\windows\system\tasksystemdll.exe También crea una copia de si mismo con el nombre de KIRBSTER.EXE en todas las unidades de disco locales y de red. Para autoejecutarse en cada reinicio, crea la siguiente entrada en el registro de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run WinSysStartUpWKbLw = c:\windows\system\tasksystemdll.exe Para propagarse por las redes P2P KaZaa, Morpheus, BearShare, Edonkey2000, ICQ y Grokster, el gusano libera copias de si mismo en las siguientes carpetas y con los siguientes nombres: [carpeta compartida del KaZaa] Rage Against The Machine - Sleep Now In This Fire.Mp3.Exe Morpheus\My Shared Folder\ PennyWise - Land Of The Free.Mp3.Exe BearShare\Shared\ Therion - Nifelheim.Mp3.Exe EDonkey2000\Incoming\ Feeder - Under The Weather.Mp3.Exe My Downloads\ ePs2e - PS2 Emulator.Exe ICQ\Shared Files\ WinIso - Iso Ripper.Exe Grokster\My Grokster\ AFI - 6 To 8.Mp3.Exe Sin embargo, si en el sistema no estuviera instalado el KaZaa, el resto de las copias en las otras aplicaciones indicadas, no son creadas. Para propagarse a través de los canales de chat, hace uso de la aplicación mIRC, creando o modificando un archivo SCRIPT.INI en la carpeta donde esté instalado este programa. Cuando el mIRC se ejecuta, el gusano es enviado a los demás usuarios de los canales visitados por la víctima, con el nombre de CUTEKIRBY.SCR, usando las facilidades del comando DCC del mIRC. Si no se encuentra instalado el mIRC en la máquina infectada, el archivo SCRIPT.INI es creado en la carpeta de los perfiles del usuario actual, lo que no tiene ningún efecto. Si el usuario tiene instalado el AOL Instant Messenger (AIM), el gusano copia el archivo CUTIEPINKKIRBY.SCR en la carpeta AIM95 dentro de "C:\Archivos de programa" (por defecto). Sin embargo, este archivo no estará disponible automáticamente para los demás usuarios del AIM como supone el autor del gusano. El gusano crea también el archivo KIRBY.BAT en el raíz de la unidad C. Cuando se ejecuta, este archivo de proceso por lotes crea el archivo KIRBYBMP.BMP también en la raíz de C. El gusano hace que este archivo de imágenes en formato BMP sea el papel tapiz del escritorio de la máquina infectada. [ver imagen http://www.vsantivirus.com/backzat-g.htm] Esta imagen representa al personaje de los videojuegos (Kirby) que da uno de los nombres conque se conoce al gusano (Kirbo). También es modificado el registro para que se ejecute el gusano como protector de pantalla: HKEY_CURRENT_USER\Control Panel\Desktop SCRNSAVE.EXE = c:\windows\system\cutekirby.scr Cada lunes, el gusano crea estos archivos en el raíz de la unidad C y luego ejecuta al primero de los .BAT: KirbyFlood.BAT KirbyFlood.VBS KirbyMail.VBS Esto ejecuta un bucle sin fin que llama al propio archivo BAT y al script de Visual Basic. Cuando el sistema queda sin recursos, muestra el siguiente mensaje: L0NEwOlf strikes again! W.32.Kirby Fl00der by LONEwOLf. Cuando se ejecuta el archivo KIRBYFLOOD.VBS se muestra una ventana de diálogo con el siguiente mensaje: Enter The w0lf Are you ready? W32.Kirby.Fl00der By L0NEw0lf [ OK ] Cada vez que se pulsa en el botón [OK] vuelve a aparecer la misma ventana. El archivo KIRBYMAIL.VBS tendría que enviar el gusano a toda la libreta de direcciones del usuario infectado, pero falla por un error en su código. El mensaje tendría que presentarse de esta forma: Asunto: Fw: Hello there Datos adjuntos: CuteKirby.scr Texto del mensaje: Hey, I just received a screen saver in the mail and it is really cute. Take a look. Cuando se ejecuta, muestra un falso mensaje de error: Error There was a critical error in the application the video drivers could not load, if you continue to experience problems try restarting your computer [ OK ] También crea un archivo KIRBYWINS.MP3 en el raíz de la unidad C, que ejecuta el tema musical del video juego de Kirby. Además, intenta reemplazar todos los archivos .EXE en la carpeta actual con su propia copia. * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\cutekirby.scr c:\windows\system\tasksystemdll.exe c:\kirbyflood.bat c:\kirbyflood.vbs c:\kirbymail.vbs c:\kirbywins.mp3 c:\kirby.bat c:\kirbybmp.bmp Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: WinSysStartUpWKbLw 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Control Panel \Desktop 5. Pinche en la carpeta "Desktop" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: SCRNSAVE.EXE 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Quitar el papel tapiz Pinche con el botón derecho sobre cualquier área vacía del escritorio, y seleccione Propiedades. En la lengüeta "Fondo" seleccione el de su preferencia o "Ninguno". * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1069 Año 7, Miércoles 11 de junio de 2003