Mostrando mensaje 913     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1862 Año 9, viernes 12 de agosto de 2005 Fecha: Viernes, 12 de Agosto, 2005  03:21:17 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1862 Año 9, viernes 12 de agosto de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Microsoft llegó a liberar un parche corrupto para IE 2 - Bagle.BV. Descarga y ejecuta archivos de Internet 3 - Bagle.BU. Descarga y ejecuta archivos de Internet 4 - Bagle.BT. Descarga y ejecuta archivos de Internet 5 - Rbot.DVI. Permite controlar remotamente el equipo _____________________________________________________________ 1 - Microsoft llegó a liberar un parche corrupto para IE _____________________________________________________________ http://www.vsantivirus.com/12-08-05.htm Microsoft llegó a liberar un parche corrupto para IE Por Angela Ruiz angela@videosoft.net.uy El parche acumulativo para Internet Explorer, que Microsoft liberó esta semana (martes 9 de agosto), estaba corrupto, dijo la compañía. Varias de las actualizaciones liberadas este mes para el Internet Explorer, y que estaban disponibles en principio mediante el centro de descargas, estaban corruptas, indicaron fuentes de Microsoft, y no podían ser instaladas. "Las actualizaciones fueron corrompidas, rompiendo las firmas digitales", escribió un miembro del equipo de desarrollo del Internet Explorer en el blog oficial. "Hemos identificado el problema y eliminado las actualizaciones afectadas del centro de descargas". Las firmas vulneradas ocasionaron fallos en el Internet Explorer, y en el Servidor de Administración de Sistemas (SMS, Systems Management Server), la herramienta de administración utilizada para distribuir actualizaciones y nuevos programas. "Si los clientes obtuvieron la actualización del centro de descargas apenas después de la liberación de las 10:00 AM (Pacific Daylight Saving Time, 17:00 UTC/GMT), entonces la actualización descargada no se podía instalar", confirmó un portavoz de Microsoft. "Microsoft obtuvo las actualizaciones del centro de descargas, investigó la causa del problema, y republicó las actualizaciones." Según pudimos comprobar en VSAntivirus, los enlaces para la actualización indicada en el boletín de seguridad MS05-038, no estuvieron disponibles por casi 24 horas, o sea hasta el miércoles 10. Solo las actualizaciones publicadas en el centro de descargas (Download Center), que es a donde apuntan los enlaces de los boletines de seguridad, fueron afectadas, indicó Microsoft. "Las actualizaciones automáticas, Windows Update, Microsoft Update, y Windows Server Update Services (WSUS) no fueron afectados", indicó la compañía en una explicación agregada al boletín MS05-038. El fallo técnico es un bochorno para Microsoft. "Nunca había visto una actualización corrompida como ésta", indicó Mike Murray, director de investigación de nCircle, una compañía que vende herramientas para el control de vulnerabilidades. "Hemos tenido actualizaciones que estaban corruptas de alguna manera o no trabajaban como deberían, pero no esto." Microsoft se enteró del problema por los comentarios de algunos usuarios en el propio blog de la compañía. Dominic White, un estudiante de ciencias de la computación de la Universidad de Rhodes, quien ha publicado artículos sobre tecnologías de actualización automática en general, y de Microsoft en particular, fue uno de ellos. "Lo que me molesta es la forma en que lo describieron", publicó White. "Microsoft dijo que esto sólo afectó a los usuarios que descargaron desde el centro de descargas. Pero ello es casi como decir que alguna persona comprometió específicamente los parches", dice White. Nadie pareció pensar acerca de la posibilidad de que los parches pudieran haber sido hackeados, y Microsoft no dijo que no lo fueron. "Francamente, los parches son un pequeño Santo Grial para la distribución de malware", continuó White. "Imaginen recibir una pieza de malware distribuido via Microsoft Update. Podrían infectar miles de máquinas y obtener privilegios de administrador. Las firmas digitales nos proveen de una forma para saber que los parches que descargamos son de quien dicen ser. No tiene justificación que hayan ignorado este mecanismo." * Fuente: Microsoft initially released corrupted IE patch http://www.itnews.com.au/newsstory.aspx?CIaNID=19623 * Relacionados: MS05-038 Actualización acumulativa para IE (896727) http://www.vsantivirus.com/vulms05-038.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Bagle.BV. Descarga y ejecuta archivos de Internet _____________________________________________________________ http://www.vsantivirus.com/bagle-bv.htm Nombre: Bagle.BV Nombre NOD32: Win32/Bagle.BV Tipo: Caballo de Troya y gusano de Internet Alias: Bagle.BV, Email-Worm.Win32.Bagle.cb, I-Worm/Bagle.DK, TR/Bagle.Gen, Trojan.Spy.Small.1, W32/Bagle-Gen, Win32.Bagle.10.Gen@mm, Win32/Bagle.BV, Worm.Bagle.BB-gen, Worm.Beagle.AV Fecha: 11/ago/05 Plataforma: Windows NT, 2000, XP Tamaño: 32,768 bytes Se trata de un troyano "downloader" del tipo "dropper" (un programa malicioso que "libera" y ejecuta otro componente malicioso), el cual a su vez intenta descargar otro componente desde Internet. No se propaga por si mismo, y fue enviado como spam masivo en un adjunto con extensión ZIP. Contiene una lista de direcciones a las que se conecta para descargar otras versiones del troyano. Cuando se ejecuta, abre el bloc de notas y muestra una ventana en blanco. Se copia a si mismo en la siguiente ubicación: c:\windows\system32\WINSHOST.EXE Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run winshost.exe = "winshost.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run winshost.exe = "winshost.exe" Luego, el troyano libera el siguiente archivo: c:\windows\system32\WIWSHOST.EXE WIWSHOST.EXE se trata en realidad de un DLL (Dynamic Link Library), de 11,776 bytes, que se intentará inyectar en el proceso del Explorer.exe utilizando la función "CreateRemoteThread". Esta función existe solo en Windows con tecnologia NT (NT, 2000, XP). La misma, crea un hilo nuevo en cualquier proceso y ejecuta su código. Luego de la inyección de código, WINSHOST.EXE finaliza su ejecución, y el proceso malicioso llamado WIWSHOST permanece ejecutándose encubierto dentro de la tarea del propio Explorer. Para prevenir que el software antivirus pueda ser actualizado, se sobrescribe el archivo HOSTS en "c:\windows\system32\Drivers\etc\hosts" (en esa ubicación en Windows NT, 2000 y XP), con la siguiente información: 127.0.0.1 localhost 127.0.0.1 ad .doubleclick .net 127.0.0.1 ad .fastclick .net 127.0.0.1 ads .fastclick .net 127.0.0.1 ar .atwola .com 127.0.0.1 atdmt .com 127.0.0.1 avp .ch 127.0.0.1 avp .com 127.0.0.1 avp .ru 127.0.0.1 awaps .net 127.0.0.1 banner .fastclick .net 127.0.0.1 banners .fastclick .net 127.0.0.1 ca .com 127.0.0.1 click .atdmt .com 127.0.0.1 clicks .atdmt .com 127.0.0.1 dispatch .mcafee .com 127.0.0.1 download .mcafee .com 127.0.0.1 download .microsoft .com 127.0.0.1 downloads .microsoft .com 127.0.0.1 engine .awaps .net 127.0.0.1 fastclick .net 127.0.0.1 f-secure .com 127.0.0.1 ftp .f-secure .com 127.0.0.1 ftp .sophos .com 127.0.0.1 go .microsoft .com 127.0.0.1 liveupdate .symantec .com 127.0.0.1 mast .mcafee .com 127.0.0.1 mcafee .com 127.0.0.1 media .fastclick .net 127.0.0.1 msdn .microsoft .com 127.0.0.1 my-etrust .com 127.0.0.1 nai .com 127.0.0.1 networkassociates .com 127.0.0.1 office .microsoft .com 127.0.0.1 phx .corporate-ir .net 127.0.0.1 secure .nai .com 127.0.0.1 securityresponse .symantec .com 127.0.0.1 service1 .symantec .com 127.0.0.1 sophos .com 127.0.0.1 spd .atdmt .com 127.0.0.1 support .microsoft .com 127.0.0.1 symantec .com 127.0.0.1 update .symantec .com 127.0.0.1 updates .symantec .com 127.0.0.1 us .mcafee .com 127.0.0.1 vil .nai .com 127.0.0.1 viruslist .ru 127.0.0.1 windowsupdate .microsoft .com 127.0.0.1 www .avp .ch 127.0.0.1 www .avp .com 127.0.0.1 www .avp .ru 127.0.0.1 www .awaps .net 127.0.0.1 www .ca .com 127.0.0.1 www .fastclick .net 127.0.0.1 www .f-secure .com 127.0.0.1 www .kaspersky .ru 127.0.0.1 www .mcafee .com 127.0.0.1 www .my-etrust .com 127.0.0.1 www .nai .com 127.0.0.1 www .networkassociates .com 127.0.0.1 www .sophos .com 127.0.0.1 www .symantec .com 127.0.0.1 www .trendmicro .com 127.0.0.1 www .viruslist .ru 127.0.0.1 ftp://ftp .kasperskylab .ru/updates/ 127.0.0.1 ftp://ftp .avp .ch/updates/ 127.0.0.1 http://www .kaspersky .ru/updates/ 127.0.0.1 http://updates1 .kaspersky-labs .com/updates/ 127.0.0.1 http://updates3 .kaspersky-labs .com/updates/ 127.0.0.1 http://updates4 .kaspersky-labs .com/updates/ 127.0.0.1 http://updates2 .kaspersky-labs .com/updates/ 127.0.0.1 http://updates5 .kaspersky-labs .com/updates/ 127.0.0.1 http://downloads1 .kaspersky-labs .com/updates/ 127.0.0.1 http://www .kaspersky-labs .com/updates/ 127.0.0.1 ftp://updates3 .kaspersky-labs .com/updates/ 127.0.0.1 ftp://downloads1 .kaspersky-labs .com/updates/ 127.0.0.1 www3 .ca .com 127.0.0.1 ids .kaspersky-labs .com 127.0.0.1 downloads2 .kaspersky-labs .com 127.0.0.1 downloads1 .kaspersky-labs .com 127.0.0.1 downloads3 .kaspersky-labs .com 127.0.0.1 downloads4 .kaspersky-labs .com 127.0.0.1 liveupdate .symantecliveupdate .com 127.0.0.1 liveupdate .symantec .com 127.0.0.1 update .symantec .com 127.0.0.1 download .mcafee .com 127.0.0.1 www .symantec .com 127.0.0.1 securityresponse .symantec .com 127.0.0.1 symantec .com 127.0.0.1 www .sophos .com 127.0.0.1 sophos .com 127.0.0.1 www .mcafee .com 127.0.0.1 mcafee .com 127.0.0.1 liveupdate .symantecliveupdate .com 127.0.0.1 www .viruslist .com 127.0.0.1 viruslist .com 127.0.0.1 f-secure .com 127.0.0.1 www .f-secure .com 127.0.0.1 kaspersky .com 127.0.0.1 kaspersky-labs .com 127.0.0.1 www .avp .com 127.0.0.1 www .kaspersky .com 127.0.0.1 avp .com 127.0.0.1 www .networkassociates .com 127.0.0.1 networkassociates .com 127.0.0.1 www .ca .com 127.0.0.1 ca .com 127.0.0.1 mast .mcafee .com 127.0.0.1 my-etrust .com 127.0.0.1 www .my-etrust .com 127.0.0.1 download .mcafee .com 127.0.0.1 dispatch .mcafee .com 127.0.0.1 secure .nai .com 127.0.0.1 nai .com 127.0.0.1 www .nai .com 127.0.0.1 update .symantec .com 127.0.0.1 updates .symantec .com 127.0.0.1 us .mcafee .com 127.0.0.1 liveupdate .symantec .com 127.0.0.1 customer .symantec .com 127.0.0.1 rads .mcafee .com 127.0.0.1 trendmicro .com 127.0.0.1 www .trendmicro .com 127.0.0.1 www .grisoft .com El troyano también es capaz de finalizar numerosos programas de seguridad (antivirus y cortafuegos). Para ello, intentará deshabilitar cualquier servicio en ejecución con los siguientes nombres: Ahnlab task Scheduler alerter AlertManger AVExch32Service avg7alrt avg7updsvc AvgCore AvgFsh AvgServ avpcc AVPCC AVUPDService AvxIni awhost32 backweb client - 4476822 BackWeb Client - 7681197 backweb client-4476822 BlackICE CAISafe ccEvtMgr ccPwdSvc ccSetMgr ccSetMgr.exe DefWatch dvpapi dvpinit fsbwsys fsdfwd F-Secure Gatekeeper Handler Starter FSMA KAVMonitorService kavsvc KLBLMain McAfee Firewall McAfeeFramework McShield McTaskManager mcupdmgr.exe MCVSRte MonSvcNT navapsvc Network Associates Log Service NISSERV NISUM NOD32ControlCenter NOD32Service Norman NJeeves Norman ZANDA Norton Antivirus Server NPFMntor NProtectService NSCTOP nvcoas NVCScheduler nwclntc nwclntd nwclnte nwclntf nwclntg nwclnth NWService Outbreak Manager Outpost Firewall OutpostFirewall PASSRV PAVFNSVR Pavkre PavProt PavPrSrv PAVSRV PCCPFW PersFW PREVSRV PSIMSVC ravmon8 SAVFMSE SAVScan SBService schscnt SharedAccess SmcService SNDSrvc SPBBCSvc SweepNet SWEEPSRV.SYS Symantec AntiVirus Client Symantec Core LC Tmntsrv V3MonNT V3MonSvc VexiraAntivirus VisNetic AntiVirus Plug-in vsmon wuauserv XCOMM Intentará borrar las siguientes ramas del registro para desinstalar la protección antivirus de numerosos productos: HKCU\Software\Microsoft\Windows\CurrentVersion\Run McAfee.InstantUpdate.Monitor HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run APVXDWIN HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avg7_cc HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avg7_emc HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ccApp HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run KAV50 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run McAfee Guardian HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run NAV CfgWiz HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SSC_UserPrompt HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Symantec NetDriver Monitor HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Zone Labs Client HKLM\SOFTWARE\Agnitum HKLM\SOFTWARE\KasperskyLab HKLM\SOFTWARE\McAfee HKLM\SOFTWARE\Panda Software HKLM\SOFTWARE\Symantec HKLM\SOFTWARE\Zone Labs También intentará renombrar cualquier archivo con alguno de los siguientes nombres, en todos los discos duros del sistema infectado: AUPDATE.EXE av.dll Avconsol.exe avgcc.exe avgemc.exe Avsynmgr.exe cafix.exe ccApp.exe CCEVTMGR.EXE ccl30.dll CCSETMGR.EXE ccvrtrst.dll CMGrdian.exe isafe.exe KAV.exe kavmm.exe LUALL.EXE LUINSDLL.DLL Luupdate.exe Mcshield.exe NAVAPSVC.EXE NPFMNTOR.EXE outpost.exe RuLaunch.exe SNDSrvc.exe SPBBCSvc.exe symlcsvc.exe Up2Date.exe vetredir.dll Vshwin32.exe VsStat.exe vsvault.dll zatutor.exe zlavscan.dll zlclient.exe zonealarm.exe Además intentará descargar otros archivos desde numerosos servidores de Internet. * Reparación manual IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos, dependerá del daño causado por el troyano desde el momento de ocurrida la infección, hasta el momento de su detección. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\winshost.exe c:\windows\system32\wiwshost.exe Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: winshost.exe = "winshost.exe" 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: winshost.exe = "winshost.exe" 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Bagle.BU. Descarga y ejecuta archivos de Internet _____________________________________________________________ http://www.vsantivirus.com/bagle-bu.htm Nombre: Bagle.BU Nombre NOD32: Win32/Bagle.BU Tipo: Caballo de Troya y gusano de Internet Alias: Bagle.BU, TR/Bagle.Gen, W32/Bagle-Gen, Win32.Bagle.10.Gen@mm, Worm.Bagle.BB-gen, Email- Worm.Win32.Bagle.bz, Email-Worm.Win32.Bagle.ca, Email- Worm.Win32.Bagle.cb, Email-Worm.Win32.Bagle.cc Fecha: 11/ago/05 Plataforma: Windows NT, 2000, XP Tamaño: 30 Kb aprox. Se trata de un troyano "downloader" del tipo "dropper" (un programa malicioso que "libera" y ejecuta otro componente malicioso), el cual a su vez intenta descargar otro componente desde Internet. No se propaga por si mismo, y fue enviado como spam masivo en un adjunto con extensión ZIP. Contiene una lista de direcciones a las que se conecta para descargar otras versiones del troyano. Cuando se ejecuta, abre el bloc de notas y muestra una ventana en blanco. Se copia a si mismo en la siguiente ubicación: c:\windows\system32\WINSHOST.EXE Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run winshost.exe = "winshost.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run winshost.exe = "winshost.exe" Luego, el troyano libera el siguiente archivo: c:\windows\system32\WIWSHOST.EXE WIWSHOST.EXE se trata en realidad de un DLL (Dynamic Link Library), de 11,776 bytes, que se intentará inyectar en el proceso del Explorer.exe utilizando la función "CreateRemoteThread". Esta función existe solo en Windows con tecnologia NT (NT, 2000, XP). La misma, crea un hilo nuevo en cualquier proceso y ejecuta su código. Luego de la inyección de código, WINSHOST.EXE finaliza su ejecución, y el proceso malicioso llamado WIWSHOST permanece ejecutándose encubierto dentro de la tarea del propio Explorer. Para prevenir que el software antivirus pueda ser actualizado, se sobrescribe el archivo HOSTS en "c:\windows\system32\Drivers\etc\hosts" (en esa ubicación en Windows NT, 2000 y XP), con la siguiente información: 127.0.0.1 localhost 127.0.0.1 ad .doubleclick .net 127.0.0.1 ad .fastclick .net 127.0.0.1 ads .fastclick .net 127.0.0.1 ar .atwola .com 127.0.0.1 atdmt .com 127.0.0.1 avp .ch 127.0.0.1 avp .com 127.0.0.1 avp .ru 127.0.0.1 awaps .net 127.0.0.1 banner .fastclick .net 127.0.0.1 banners .fastclick .net 127.0.0.1 ca .com 127.0.0.1 click .atdmt .com 127.0.0.1 clicks .atdmt .com 127.0.0.1 dispatch .mcafee .com 127.0.0.1 download .mcafee .com 127.0.0.1 download .microsoft .com 127.0.0.1 downloads .microsoft .com 127.0.0.1 engine .awaps .net 127.0.0.1 fastclick .net 127.0.0.1 f-secure .com 127.0.0.1 ftp .f-secure .com 127.0.0.1 ftp .sophos .com 127.0.0.1 go .microsoft .com 127.0.0.1 liveupdate .symantec .com 127.0.0.1 mast .mcafee .com 127.0.0.1 mcafee .com 127.0.0.1 media .fastclick .net 127.0.0.1 msdn .microsoft .com 127.0.0.1 my-etrust .com 127.0.0.1 nai .com 127.0.0.1 networkassociates .com 127.0.0.1 office .microsoft .com 127.0.0.1 phx .corporate-ir .net 127.0.0.1 secure .nai .com 127.0.0.1 securityresponse .symantec .com 127.0.0.1 service1 .symantec .com 127.0.0.1 sophos .com 127.0.0.1 spd .atdmt .com 127.0.0.1 support .microsoft .com 127.0.0.1 symantec .com 127.0.0.1 update .symantec .com 127.0.0.1 updates .symantec .com 127.0.0.1 us .mcafee .com 127.0.0.1 vil .nai .com 127.0.0.1 viruslist .ru 127.0.0.1 windowsupdate .microsoft .com 127.0.0.1 www .avp .ch 127.0.0.1 www .avp .com 127.0.0.1 www .avp .ru 127.0.0.1 www .awaps .net 127.0.0.1 www .ca .com 127.0.0.1 www .fastclick .net 127.0.0.1 www .f-secure .com 127.0.0.1 www .kaspersky .ru 127.0.0.1 www .mcafee .com 127.0.0.1 www .my-etrust .com 127.0.0.1 www .nai .com 127.0.0.1 www .networkassociates .com 127.0.0.1 www .sophos .com 127.0.0.1 www .symantec .com 127.0.0.1 www .trendmicro .com 127.0.0.1 www .viruslist .ru 127.0.0.1 ftp://ftp .kasperskylab .ru/updates/ 127.0.0.1 ftp://ftp .avp .ch/updates/ 127.0.0.1 http://www .kaspersky .ru/updates/ 127.0.0.1 http://updates1 .kaspersky-labs .com/updates/ 127.0.0.1 http://updates3 .kaspersky-labs .com/updates/ 127.0.0.1 http://updates4 .kaspersky-labs .com/updates/ 127.0.0.1 http://updates2 .kaspersky-labs .com/updates/ 127.0.0.1 http://updates5 .kaspersky-labs .com/updates/ 127.0.0.1 http://downloads1 .kaspersky-labs .com/updates/ 127.0.0.1 http://www .kaspersky-labs .com/updates/ 127.0.0.1 ftp://updates3 .kaspersky-labs .com/updates/ 127.0.0.1 ftp://downloads1 .kaspersky-labs .com/updates/ 127.0.0.1 www3 .ca .com 127.0.0.1 ids .kaspersky-labs .com 127.0.0.1 downloads2 .kaspersky-labs .com 127.0.0.1 downloads1 .kaspersky-labs .com 127.0.0.1 downloads3 .kaspersky-labs .com 127.0.0.1 downloads4 .kaspersky-labs .com 127.0.0.1 liveupdate .symantecliveupdate .com 127.0.0.1 liveupdate .symantec .com 127.0.0.1 update .symantec .com 127.0.0.1 download .mcafee .com 127.0.0.1 www .symantec .com 127.0.0.1 securityresponse .symantec .com 127.0.0.1 symantec .com 127.0.0.1 www .sophos .com 127.0.0.1 sophos .com 127.0.0.1 www .mcafee .com 127.0.0.1 mcafee .com 127.0.0.1 liveupdate .symantecliveupdate .com 127.0.0.1 www .viruslist .com 127.0.0.1 viruslist .com 127.0.0.1 f-secure .com 127.0.0.1 www .f-secure .com 127.0.0.1 kaspersky .com 127.0.0.1 kaspersky-labs .com 127.0.0.1 www .avp .com 127.0.0.1 www .kaspersky .com 127.0.0.1 avp .com 127.0.0.1 www .networkassociates .com 127.0.0.1 networkassociates .com 127.0.0.1 www .ca .com 127.0.0.1 ca .com 127.0.0.1 mast .mcafee .com 127.0.0.1 my-etrust .com 127.0.0.1 www .my-etrust .com 127.0.0.1 download .mcafee .com 127.0.0.1 dispatch .mcafee .com 127.0.0.1 secure .nai .com 127.0.0.1 nai .com 127.0.0.1 www .nai .com 127.0.0.1 update .symantec .com 127.0.0.1 updates .symantec .com 127.0.0.1 us .mcafee .com 127.0.0.1 liveupdate .symantec .com 127.0.0.1 customer .symantec .com 127.0.0.1 rads .mcafee .com 127.0.0.1 trendmicro .com 127.0.0.1 www .trendmicro .com 127.0.0.1 www .grisoft .com El troyano también es capaz de finalizar numerosos programas de seguridad (antivirus y cortafuegos). Para ello, intentará deshabilitar cualquier servicio en ejecución con los siguientes nombres: Ahnlab task Scheduler alerter AlertManger AVExch32Service avg7alrt avg7updsvc AvgCore AvgFsh AvgServ avpcc AVPCC AVUPDService AvxIni awhost32 backweb client - 4476822 BackWeb Client - 7681197 backweb client-4476822 BlackICE CAISafe ccEvtMgr ccPwdSvc ccSetMgr ccSetMgr.exe DefWatch dvpapi dvpinit fsbwsys fsdfwd F-Secure Gatekeeper Handler Starter FSMA KAVMonitorService kavsvc KLBLMain McAfee Firewall McAfeeFramework McShield McTaskManager mcupdmgr.exe MCVSRte MonSvcNT navapsvc Network Associates Log Service NISSERV NISUM NOD32ControlCenter NOD32Service Norman NJeeves Norman ZANDA Norton Antivirus Server NPFMntor NProtectService NSCTOP nvcoas NVCScheduler nwclntc nwclntd nwclnte nwclntf nwclntg nwclnth NWService Outbreak Manager Outpost Firewall OutpostFirewall PASSRV PAVFNSVR Pavkre PavProt PavPrSrv PAVSRV PCCPFW PersFW PREVSRV PSIMSVC ravmon8 SAVFMSE SAVScan SBService schscnt SharedAccess SmcService SNDSrvc SPBBCSvc SweepNet SWEEPSRV.SYS Symantec AntiVirus Client Symantec Core LC Tmntsrv V3MonNT V3MonSvc VexiraAntivirus VisNetic AntiVirus Plug-in vsmon wuauserv XCOMM Intentará borrar las siguientes ramas del registro para desinstalar la protección antivirus de numerosos productos: HKCU\Software\Microsoft\Windows\CurrentVersion\Run McAfee.InstantUpdate.Monitor HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run APVXDWIN HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avg7_cc HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avg7_emc HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ccApp HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run KAV50 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run McAfee Guardian HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run NAV CfgWiz HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SSC_UserPrompt HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Symantec NetDriver Monitor HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Zone Labs Client HKLM\SOFTWARE\Agnitum HKLM\SOFTWARE\KasperskyLab HKLM\SOFTWARE\McAfee HKLM\SOFTWARE\Panda Software HKLM\SOFTWARE\Symantec HKLM\SOFTWARE\Zone Labs También intentará renombrar cualquier archivo con alguno de los siguientes nombres, en todos los discos duros del sistema infectado: AUPDATE.EXE av.dll Avconsol.exe avgcc.exe avgemc.exe Avsynmgr.exe cafix.exe ccApp.exe CCEVTMGR.EXE ccl30.dll CCSETMGR.EXE ccvrtrst.dll CMGrdian.exe isafe.exe KAV.exe kavmm.exe LUALL.EXE LUINSDLL.DLL Luupdate.exe Mcshield.exe NAVAPSVC.EXE NPFMNTOR.EXE outpost.exe RuLaunch.exe SNDSrvc.exe SPBBCSvc.exe symlcsvc.exe Up2Date.exe vetredir.dll Vshwin32.exe VsStat.exe vsvault.dll zatutor.exe zlavscan.dll zlclient.exe zonealarm.exe Además intentará descargar otros archivos desde numerosos servidores de Internet. * Reparación manual IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos, dependerá del daño causado por el troyano desde el momento de ocurrida la infección, hasta el momento de su detección. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\winshost.exe c:\windows\system32\wiwshost.exe Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: winshost.exe = "winshost.exe" 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: winshost.exe = "winshost.exe" 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Bagle.BT. Descarga y ejecuta archivos de Internet _____________________________________________________________ http://www.vsantivirus.com/bagle-bt.htm Nombre: Bagle.BT Nombre NOD32: Win32/Bagle.BT Tipo: Caballo de Troya y gusano de Internet Alias: Bagle.BT, TR/Bagle.Gen, W32/Bagle-Gen, Win32.Bagle.10.Gen@mm, Worm.Bagle.BB-gen, Email- Worm.Win32.Bagle.bz, Email-Worm.Win32.Bagle.ca, Email- Worm.Win32.Bagle.cb, Email-Worm.Win32.Bagle.cc Fecha: 11/ago/05 Plataforma: Windows NT, 2000, XP Tamaño: 30 Kb aprox. Se trata de un troyano "downloader" del tipo "dropper" (un programa malicioso que "libera" y ejecuta otro componente malicioso), el cual a su vez intenta descargar otro componente desde Internet. No se propaga por si mismo, y fue enviado como spam masivo en un adjunto con extensión ZIP. Contiene una lista de direcciones a las que se conecta para descargar otras versiones del troyano. Cuando se ejecuta, abre el bloc de notas y muestra una ventana en blanco. Se copia a si mismo en la siguiente ubicación: c:\windows\system32\WINSHOST.EXE Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run winshost.exe = "winshost.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run winshost.exe = "winshost.exe" Luego, el troyano libera el siguiente archivo: c:\windows\system32\WIWSHOST.EXE WIWSHOST.EXE se trata en realidad de un DLL (Dynamic Link Library), de 11,776 bytes, que se intentará inyectar en el proceso del Explorer.exe utilizando la función "CreateRemoteThread". Esta función existe solo en Windows con tecnologia NT (NT, 2000, XP). La misma, crea un hilo nuevo en cualquier proceso y ejecuta su código. Luego de la inyección de código, WINSHOST.EXE finaliza su ejecución, y el proceso malicioso llamado WIWSHOST permanece ejecutándose encubierto dentro de la tarea del propio Explorer. Para prevenir que el software antivirus pueda ser actualizado, se sobrescribe el archivo HOSTS en "c:\windows\system32\Drivers\etc\hosts" (en esa ubicación en Windows NT, 2000 y XP), con la siguiente información: 127.0.0.1 localhost 127.0.0.1 ad .doubleclick .net 127.0.0.1 ad .fastclick .net 127.0.0.1 ads .fastclick .net 127.0.0.1 ar .atwola .com 127.0.0.1 atdmt .com 127.0.0.1 avp .ch 127.0.0.1 avp .com 127.0.0.1 avp .ru 127.0.0.1 awaps .net 127.0.0.1 banner .fastclick .net 127.0.0.1 banners .fastclick .net 127.0.0.1 ca .com 127.0.0.1 click .atdmt .com 127.0.0.1 clicks .atdmt .com 127.0.0.1 dispatch .mcafee .com 127.0.0.1 download .mcafee .com 127.0.0.1 download .microsoft .com 127.0.0.1 downloads .microsoft .com 127.0.0.1 engine .awaps .net 127.0.0.1 fastclick .net 127.0.0.1 f-secure .com 127.0.0.1 ftp .f-secure .com 127.0.0.1 ftp .sophos .com 127.0.0.1 go .microsoft .com 127.0.0.1 liveupdate .symantec .com 127.0.0.1 mast .mcafee .com 127.0.0.1 mcafee .com 127.0.0.1 media .fastclick .net 127.0.0.1 msdn .microsoft .com 127.0.0.1 my-etrust .com 127.0.0.1 nai .com 127.0.0.1 networkassociates .com 127.0.0.1 office .microsoft .com 127.0.0.1 phx .corporate-ir .net 127.0.0.1 secure .nai .com 127.0.0.1 securityresponse .symantec .com 127.0.0.1 service1 .symantec .com 127.0.0.1 sophos .com 127.0.0.1 spd .atdmt .com 127.0.0.1 support .microsoft .com 127.0.0.1 symantec .com 127.0.0.1 update .symantec .com 127.0.0.1 updates .symantec .com 127.0.0.1 us .mcafee .com 127.0.0.1 vil .nai .com 127.0.0.1 viruslist .ru 127.0.0.1 windowsupdate .microsoft .com 127.0.0.1 www .avp .ch 127.0.0.1 www .avp .com 127.0.0.1 www .avp .ru 127.0.0.1 www .awaps .net 127.0.0.1 www .ca .com 127.0.0.1 www .fastclick .net 127.0.0.1 www .f-secure .com 127.0.0.1 www .kaspersky .ru 127.0.0.1 www .mcafee .com 127.0.0.1 www .my-etrust .com 127.0.0.1 www .nai .com 127.0.0.1 www .networkassociates .com 127.0.0.1 www .sophos .com 127.0.0.1 www .symantec .com 127.0.0.1 www .trendmicro .com 127.0.0.1 www .viruslist .ru 127.0.0.1 ftp://ftp .kasperskylab .ru/updates/ 127.0.0.1 ftp://ftp .avp .ch/updates/ 127.0.0.1 http://www .kaspersky .ru/updates/ 127.0.0.1 http://updates1 .kaspersky-labs .com/updates/ 127.0.0.1 http://updates3 .kaspersky-labs .com/updates/ 127.0.0.1 http://updates4 .kaspersky-labs .com/updates/ 127.0.0.1 http://updates2 .kaspersky-labs .com/updates/ 127.0.0.1 http://updates5 .kaspersky-labs .com/updates/ 127.0.0.1 http://downloads1 .kaspersky-labs .com/updates/ 127.0.0.1 http://www .kaspersky-labs .com/updates/ 127.0.0.1 ftp://updates3 .kaspersky-labs .com/updates/ 127.0.0.1 ftp://downloads1 .kaspersky-labs .com/updates/ 127.0.0.1 www3 .ca .com 127.0.0.1 ids .kaspersky-labs .com 127.0.0.1 downloads2 .kaspersky-labs .com 127.0.0.1 downloads1 .kaspersky-labs .com 127.0.0.1 downloads3 .kaspersky-labs .com 127.0.0.1 downloads4 .kaspersky-labs .com 127.0.0.1 liveupdate .symantecliveupdate .com 127.0.0.1 liveupdate .symantec .com 127.0.0.1 update .symantec .com 127.0.0.1 download .mcafee .com 127.0.0.1 www .symantec .com 127.0.0.1 securityresponse .symantec .com 127.0.0.1 symantec .com 127.0.0.1 www .sophos .com 127.0.0.1 sophos .com 127.0.0.1 www .mcafee .com 127.0.0.1 mcafee .com 127.0.0.1 liveupdate .symantecliveupdate .com 127.0.0.1 www .viruslist .com 127.0.0.1 viruslist .com 127.0.0.1 f-secure .com 127.0.0.1 www .f-secure .com 127.0.0.1 kaspersky .com 127.0.0.1 kaspersky-labs .com 127.0.0.1 www .avp .com 127.0.0.1 www .kaspersky .com 127.0.0.1 avp .com 127.0.0.1 www .networkassociates .com 127.0.0.1 networkassociates .com 127.0.0.1 www .ca .com 127.0.0.1 ca .com 127.0.0.1 mast .mcafee .com 127.0.0.1 my-etrust .com 127.0.0.1 www .my-etrust .com 127.0.0.1 download .mcafee .com 127.0.0.1 dispatch .mcafee .com 127.0.0.1 secure .nai .com 127.0.0.1 nai .com 127.0.0.1 www .nai .com 127.0.0.1 update .symantec .com 127.0.0.1 updates .symantec .com 127.0.0.1 us .mcafee .com 127.0.0.1 liveupdate .symantec .com 127.0.0.1 customer .symantec .com 127.0.0.1 rads .mcafee .com 127.0.0.1 trendmicro .com 127.0.0.1 www .trendmicro .com 127.0.0.1 www .grisoft .com El troyano también es capaz de finalizar numerosos programas de seguridad (antivirus y cortafuegos). Para ello, intentará deshabilitar cualquier servicio en ejecución con los siguientes nombres: Ahnlab task Scheduler alerter AlertManger AVExch32Service avg7alrt avg7updsvc AvgCore AvgFsh AvgServ avpcc AVPCC AVUPDService AvxIni awhost32 backweb client - 4476822 BackWeb Client - 7681197 backweb client-4476822 BlackICE CAISafe ccEvtMgr ccPwdSvc ccSetMgr ccSetMgr.exe DefWatch dvpapi dvpinit fsbwsys fsdfwd F-Secure Gatekeeper Handler Starter FSMA KAVMonitorService kavsvc KLBLMain McAfee Firewall McAfeeFramework McShield McTaskManager mcupdmgr.exe MCVSRte MonSvcNT navapsvc Network Associates Log Service NISSERV NISUM NOD32ControlCenter NOD32Service Norman NJeeves Norman ZANDA Norton Antivirus Server NPFMntor NProtectService NSCTOP nvcoas NVCScheduler nwclntc nwclntd nwclnte nwclntf nwclntg nwclnth NWService Outbreak Manager Outpost Firewall OutpostFirewall PASSRV PAVFNSVR Pavkre PavProt PavPrSrv PAVSRV PCCPFW PersFW PREVSRV PSIMSVC ravmon8 SAVFMSE SAVScan SBService schscnt SharedAccess SmcService SNDSrvc SPBBCSvc SweepNet SWEEPSRV.SYS Symantec AntiVirus Client Symantec Core LC Tmntsrv V3MonNT V3MonSvc VexiraAntivirus VisNetic AntiVirus Plug-in vsmon wuauserv XCOMM Intentará borrar las siguientes ramas del registro para desinstalar la protección antivirus de numerosos productos: HKCU\Software\Microsoft\Windows\CurrentVersion\Run McAfee.InstantUpdate.Monitor HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run APVXDWIN HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avg7_cc HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avg7_emc HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ccApp HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run KAV50 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run McAfee Guardian HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run NAV CfgWiz HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SSC_UserPrompt HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Symantec NetDriver Monitor HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Zone Labs Client HKLM\SOFTWARE\Agnitum HKLM\SOFTWARE\KasperskyLab HKLM\SOFTWARE\McAfee HKLM\SOFTWARE\Panda Software HKLM\SOFTWARE\Symantec HKLM\SOFTWARE\Zone Labs También intentará renombrar cualquier archivo con alguno de los siguientes nombres, en todos los discos duros del sistema infectado: AUPDATE.EXE av.dll Avconsol.exe avgcc.exe avgemc.exe Avsynmgr.exe cafix.exe ccApp.exe CCEVTMGR.EXE ccl30.dll CCSETMGR.EXE ccvrtrst.dll CMGrdian.exe isafe.exe KAV.exe kavmm.exe LUALL.EXE LUINSDLL.DLL Luupdate.exe Mcshield.exe NAVAPSVC.EXE NPFMNTOR.EXE outpost.exe RuLaunch.exe SNDSrvc.exe SPBBCSvc.exe symlcsvc.exe Up2Date.exe vetredir.dll Vshwin32.exe VsStat.exe vsvault.dll zatutor.exe zlavscan.dll zlclient.exe zonealarm.exe Además intentará descargar otros archivos desde numerosos servidores de Internet. * Reparación manual IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos, dependerá del daño causado por el troyano desde el momento de ocurrida la infección, hasta el momento de su detección. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\winshost.exe c:\windows\system32\wiwshost.exe Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: winshost.exe = "winshost.exe" 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: winshost.exe = "winshost.exe" 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Rbot.DVI. Permite controlar remotamente el equipo _____________________________________________________________ http://www.vsantivirus.com/rbot-dvi.htm Nombre: Rbot.DVI Nombre Nod32: Win32/Rbot.DVI Tipo: Gusano de Internet y Caballo de Troya Alias: Rbot.DVI, Backdoor.Rbot.xl, Backdoor.Win32.Rbot.xl, W32/RBot.XL-bdr, W32/Rbot-AJX, Win32/Rbot.DVI, Worm/Rbot.XL.1 Fecha: 8/ago/05 Plataforma: Windows 32-bit Tamaño: 194,560 bytes Rbot es un gusano que se propaga por recursos compartidos en redes. Busca y hace una lista de carpetas compartidas usadas para descargas por aplicaciones (P2P por ejemplo), donde liberará una copia de si mismo. Utiliza una lista de contraseñas incluidas en su código, para intentar acceder a dichas carpetas. Hace uso de diversas vulnerabilidades conocidas de Windows, que solo afectan a equipos que no han sido actualizados con los últimos parches de Microsoft. El gusano posee funcionalidades que le permiten actuar como backdoor (troyano de puerta trasera), donde puede operar como un BOT de IRC. Un BOT de IRC es un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos. Posee su propio cliente IRC incorporado en su código, por lo que no importa si el usuario tiene o no instalado su propio cliente de chat. El gusano utiliza su motor IRC para conectarse a un canal de IRC predefinido, y queda a la espera de comandos enviados por un atacante remoto. Los comandos son ejecutados en el entorno local, dándole al usuario remoto el control virtual del equipo infectado. Los daños producidos por estas acciones, están directamente relacionados por las acciones concretas que el atacante realice, por lo que varían en cada caso. También puede utilizar las capacidades de acceso trasero de otros gusanos y caballos de Troya para copiarse en sistemas infectados por los mismos (por ejemplo OPTIX, SUB7, BAGLE, MYDOOM, etc.). El gusano también intenta obtener las llaves de registro y los identificadores (Product ID y CD Keys), de determinados juegos y aplicaciones. Algunas de las acciones posibles para un usuario remoto: - Abrir y cerrar vulnerabilidades - Agregar y borrar recursos compartidos, grupos y usuarios - Apagar y reiniciar la computadora - Atacar caches DNS y ARP (flushing) - Capturar imágenes y videos a través de la webcam - Capturar pantallas - Descargar, subir, borrar y ejecutar archivos - Detener, iniciar y borrar servicios - Ejecutar y detener su keylogger (captura de teclado) - Enviar correo electrónico a usuarios determinados - Escanear puertos de computadoras remotas en busca de vulnerabilidades - Habilitar servidores HTTP, TFTP y FTP - Habilitar una consola de comandos remota (shell) - Iniciar ataques DDoS (Distributed Denial of Service), ataques distribuidos de negación de servicios, donde se utilizan todos los equipos infectados actuando al mismo tiempo contra una misma víctima. - Listar y finalizar procesos - Redireccionar tráfico TCP y SOCKS4. - Robar contraseñas (incluyendo cuentas bancarias, PayPal, etc.) - Examinar el tráfico de red en busca de contraseñas y otra información (sniffer), buscando las siguientes cadenas: : auth : login :!auth :!hashin :!login :!secure :!syn :$auth :$hashin :$login :$syn :%auth :%hashin :%login :%syn :&auth :&login :*auth :*login :,auth :,login :.auth :.hashin :.login :.secure :.syn :/auth :/login :?auth :?login :@auth :@login :\auth :\login :~auth :~login :+auth :+login :=auth :=login :'auth :-auth :'login :-login CDKey JOIN # login login NICK now an IRC Operator OPER oper PASS paypal PAYPAL paypal.com PAYPAL.COM Set-Cookie: USER Cuando se ejecuta, crea la siguiente copia de si mismo: c:\windows\system32\windir32.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Windows DLL Services Configuration = windir32.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Microsoft Windows DLL Services Configuration = windir32.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Microsoft Windows DLL Services Configuration = windir32.exe * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1862 Año 9, viernes 12 de agosto de 2005