| Asunto: | VSantivirus No. 1864 Año 9, domingo 14 de agosto de 2005 | | Fecha: | Sabado, 13 de Agosto, 2005 23:23:18 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1864 Año 9, domingo 14 de agosto de 2005
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Netscape 8.0.3.3 actualiza todos los parches de Firefox
2 - AnaFTP.01.Server. Abre un servidor FTP clandestino
3 - TrojanDownloader.Small.AAO. CHM que descarga archivos
4 - Small.NAA. Se propaga por recursos compartidos
_____________________________________________________________
1 - Netscape 8.0.3.3 actualiza todos los parches de Firefox
_____________________________________________________________
http://www.vsantivirus.com/netscape-8033.htm
Netscape 8.0.3.3 actualiza todos los parches de Firefox
Por Angela Ruiz
angela@videosoft.net.uy
Netscape ha realizado una nueva versión de su navegador, para
ponerse al día con todos los parches de seguridad incluidos
en todas las versiones de Firefox, hasta la 1.0.6 inclusive.
Netscape utiliza el motor de Firefox, además del incluido en
Windows (Internet Explorer).
La nueva versión, identificada como 8.0.3.3, está disponible
en el siguiente enlace:
http://browser.netscape.com/ns8/download/default.jsp
La mayoría de las vulnerabilidades ahora corregidas, pueden
ser utilizadas para la ejecución remota de código, o para
eludir las políticas de acceso y escalar privilegios. También
habilitan la ejecución de scripts (archivos de comandos).
Un atacante puede obtener ventajas de estos fallos para
ejecutar código en el equipo afectado, con los privilegios
del usuario actualmente conectado.
Estas vulnerabilidades también permiten a un atacante robar
cookies, o acceder a otra información confidencial.
Esta es la cuarta actualización de Netscape 8.0, desde que
fuera lanzado hace solo tres meses (mayo de 2005).
Netscape es una división de America Online, una filial de
Time Warner.
* Listado de vulnerabilidades corregidas
* Ejecución de código vía "shared function objects"
Referencia: Mozilla Foundation Security Advisory 2005-56
Una vulnerabilidad crítica en la clonación impropia de
objetos permite que un sitio web mediante un script pueda
ejecutar código con los máximos privilegios en el equipo de
su víctima.
* XHTML node spoofing
Referencia: Mozilla Foundation Security Advisory 2005-55
Un documento HTML podría ser utilizado para crear falsos
elementos <IMG> que podrían utilizarse para instalar software
malicioso en la máquina de la víctima.
* Spoofing en avisos de Javascript
Referencia: Mozilla Foundation Security Advisory 2005-54
Las ventanas de alerta y los avisos creados por scripts en
páginas web, se presentan al usuario con un título genérico,
que puede hacer difícil identificar si fueron creados por el
mismo sitio, o por un sitio malicioso, el cuál podría
aprovecharse de esto para mostrar un aviso sobre el contenido
verdadero de una página de confianza, haciendo que el usuario
ingrese en ellos información comprometedora. La actualización
hace que estos avisos muestren el nombre del sitio que los
genera.
* Aplicaciones independientes pueden ejecutar código a través
del navegador
Referencia: Mozilla Foundation Security Advisory 2005-53
Algunos reproductores multimedia que soportan scripts, por
ejemplo Flash y QuickTime, poseen la habilidad de abrir
direcciones (URLs) en el navegador por defecto. Cuando ello
sucede, el navegador puede llegar a mostrar un contenido
externo diferente al de la página que el usuario cree estar
visitando, con la posibilidad de que un usuario malicioso se
aproveche de este comportamiento para robar información
confidencial como cookies de acceso o contraseñas, o hasta
ejecutar código de forma arbitraria.
* Vulnerabilidad en marcos [top.focus()]
Referencia: Mozilla Foundation Security Advisory 2005-52
Un atacante podría utilizar maliciosamente páginas con marcos
para esconder el verdadero origen de determinadas ventanas,
con la posibilidad de robar cookies y contraseñas del
usuario, o para suplantarlo.
* El retorno del "frame-injection spoofing"
Referencia: Mozilla Foundation Security Advisory 2005-51
El problema se produce porque el navegador falla al intentar
impedir que un sitio web malicioso cargue contenido en un
marco al azar de otra ventana. Esta vulnerabilidad había sido
solucionada en versiones anteriores, pero por error había
reaparecido en las últimas versiones.
* Vulnerabilidad en "InstallVersion.compareTo"
Referencia: Mozilla Foundation Security Advisory 2005-50
Esta vulnerabilidad podría hacer que el navegador deje de
responder, causando una violación de acceso. Un atacante
podría llegar incluso a ejecutar código de forma arbitraria,
aunque las posibilidades de lograrlo exitosamente son
escasas.
* Inyección de script desde barra lateral de Firefox
Referencia: Mozilla Foundation Security Advisory 2005-49
La falta de un control de seguridad permite que un sitio
pueda inyectar desde la barra lateral del navegador, un
script malicioso en cualquier página abierta en el navegador.
Esto puede permitir el robo de cookies, contraseñas, o
cualquier otra información sensible.
* Infracción en función "InstallTrigger.install()"
Referencia: Mozilla Foundation Security Advisory 2005-48
Cuando se utiliza la función "InstallTrigger.install()" para
iniciar una instalación, se puede forzar la navegación a una
nueva página que se ejecutará en el contexto de la página
anterior. Un script podría ejecutarse para robar contraseñas
y cookies, o realizar las mismas acciones que el usuario
lleve a cabo en el sitio que visitaba.
* Ejecución de código vía "Set as Wallpaper"
Referencia: Mozilla Foundation Security Advisory 2005-47
Si un atacante convence a su víctima a utilizar la opción del
menú contextual "Set As Wallpaper" (establecer como imagen de
fondo), puede llegar a ejecutar código en forma arbitraria en
el equipo del usuario, si el archivo a utilizar ha sido
modificado maliciosamente.
* Software vulnerable:
- Netscape Browser 6.x
- Netscape Browser 7.x
- Netscape Browser 8.0
- Netscape Browser 8.0.1
- Netscape Browser 8.0.2
Software NO vulnerable:
- Netscape Browser 8.0.3.3
* Solución:
Actualizarse a la versión no vulnerable, desde el siguiente
enlace:
http://browser.netscape.com/ns8/download/default.jsp
* Referencias
Mozilla Foundation Security Advisory 2005-56
Title: Code execution through shared function objects
http://www.mozilla.org/security/announce/mfsa2005-56.html
Mozilla Foundation Security Advisory 2005-55
Title: XHTML node spoofing
http://www.mozilla.org/security/announce/mfsa2005-55.html
Mozilla Foundation Security Advisory 2005-54
Title: Javascript prompt origin spoofing
http://www.mozilla.org/security/announce/mfsa2005-54.html
Mozilla Foundation Security Advisory 2005-53
Title: Standalone applications can run arbitrary code through
the browser
http://www.mozilla.org/security/announce/mfsa2005-53.html
Mozilla Foundation Security Advisory 2005-52
Title: Same origin violation: frame calling top.focus()
http://www.mozilla.org/security/announce/mfsa2005-52.html
Mozilla Foundation Security Advisory 2005-51
Title: The return of frame-injection spoofing
http://www.mozilla.org/security/announce/mfsa2005-51.html
Mozilla Foundation Security Advisory 2005-50
Title: Possibly exploitable crash in InstallVersion.compareTo
http://www.mozilla.org/security/announce/mfsa2005-50.html
Mozilla Foundation Security Advisory 2005-49
Title: Script injection from Firefox sidebar panel using
data:
http://www.mozilla.org/security/announce/mfsa2005-49.html
Mozilla Foundation Security Advisory 2005-48
Title: Same-origin violation with InstallTrigger callback
http://www.mozilla.org/security/announce/mfsa2005-48.html
Mozilla Foundation Security Advisory 2005-47
Title: Code execution via "Set as Wallpaper"
http://www.mozilla.org/security/announce/mfsa2005-47.html
* Relacionados
Netscape Security Alerts
http://browser.netscape.com/ns8/security/alerts.jsp
Mozilla Foundation Security Advisories
http://www.mozilla.org/security/announce/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - AnaFTP.01.Server. Abre un servidor FTP clandestino
_____________________________________________________________
http://www.vsantivirus.com/anaftp-01-server.htm
Nombre: AnaFTP.01.Server
Nombre NOD32: Win32/AnaFTP.01.Server
Tipo: Caballo de Troya de acceso remoto
Alias: AnaFTP, Backdoor.AnaFTP.0.1, BackDoor.AnaFTP.G,
BackDoor.AnFTP.1, Backdoor.FTP_Ana.C,
Backdoor.Win32.AnaFTP.01.a, Backdoor:Win32/Anaftp, BackDoor-
ADW, BDS/AnaFTP.01.A.5, BKDR_ANAFTP.A, W32/Malware,
Win32.AnaFTP.01, Win32/AnaFTP.01.A.Server,
Win32/AnaFTP.01.Server, Win32/AnalFTP!Backdoor
Fecha: 22/jun/04
Plataforma: Windows 32-bit
Tamaño: variable
Caballo de Troya de acceso remoto que funciona como servidor
FTP en el equipo infectado, sin el conocimiento del usuario.
Esto permite compartir los archivos de la víctima con otros
usuarios remotos.
El paquete completo consiste en un componente servidor y el
editor de este componente.
Cómo muchas características pueden ser editadas con la
herramienta mencionada, esta descripción debe tomarse solo
como una descripción general.
Cuando el servidor es ejecutado, se crea el siguiente
archivo:
c:\windows\AnalFTP.exe
Las siguientes entradas son creadas o modificadas en el
registro, para que el troyano se ejecute en cada reinicio del
sistema:
HKLM\SOFTWARE\Microsoft\Active Setup
\Installed Components\Anal FTP
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Anal FTP = c:\windows\AnalFTP.exe
El troyano abre un puerto FTP por el puerto seleccionado por
el autor (por defecto TCP 13753), y queda a la espera de los
comandos de un usuario remoto, luego de enviarle al mismo,
una notificación con los siguientes datos:
- Dirección IP de la víctima
- Puerto abierto y utilizado por el FTP
- Fecha y hora
El componente editor del servidor es utilizado por el
atacante para cambiar las siguientes características del
troyano:
- Habilitar el método de notificación por ICQ
- Definir el número de puerto a habilitar
- Seleccionar nombre de usuario y contraseña para ingresar
Algunas de las acciones posibles son las siguientes:
- Visualizar archivos
- Subir o bajar archivos
- Reemplazar archivos
El troyano no se propaga por si mismo. Puede llegar a nuestro
PC al ser copiado manualmente en el sistema, o al ser
descargado intencionalmente o mediante engaños de algún sitio
malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano
a su víctima en un mensaje electrónico individual o
masivamente por medio de spam a otros usuarios.
Otros malwares también podrían descargarlo y ejecutarlo en un
sistema infectado.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Active Setup
\Installed Components
\Anal FTP
3. Haga clic en la carpeta "Anal FTP" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - TrojanDownloader.Small.AAO. CHM que descarga archivos
_____________________________________________________________
http://www.vsantivirus.com/trojandownloader-small-aao.htm
Nombre: TrojanDownloader.Small.AAO
Nombre NOD32: Win32/TrojanDownloader.Small.AAO
Tipo: Caballo de Troya de acceso remoto
Alias: Small.AAO, BackDoor-CJV.dr, CHM_Icyfox.A, Downloader-
GG!chm, TR/Drop.Small.NY.2, TROJ_SMALL.AAO,
Trojan.Downloader.Small.AOO, Trojan.Dropper,
Trojan.Dropper.Small.NY, Trojan-Downloader.Win32.Small.aoo,
Trojan-Dropper.Win32.Small.ny, W32/Downloader.AOK,
W32/Smalldrp.AFC, Win32/Lemir.CZ!PWS!Downloader,
Win32/TrojanDownloader.Small.AAO, Win32:Trojan-gen
Fecha: 30/nov/04
Plataforma: Windows 32-bit
Tamaño: 10 KB aprox.
Archivo malicioso en formato .CHM (los archivos CHM son HTMLs
compilados, normalmente ejecutados por el visor de la ayuda
de Windows). Es utilizado para descargar y ejecutar otros
archivos (.EXE) desde diferentes direcciones de Internet.
Puede llegar al sistema al ser descargado por otros troyanos
o al visitar algunos sitios maliciosos. Se requiere la
interacción con el usuario para abrir el archivo .CHM, ya que
no utiliza ningún exploit para su acción.
El texto del CHM suele estar en chino.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por los archivos descargados, pueden aplicarse
cambios en el sistema no contemplados en esta descripción
genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Small.NAA. Se propaga por recursos compartidos
_____________________________________________________________
http://www.vsantivirus.com/small-naa.htm
Nombre: Small.NAA
Nombre NOD32: Win32/Small.NAA
Tipo: Gusano y caballo de Troya
Alias: Small.NAA, Application/ServUBa, Backdoor.IRC.Bot,
Backdoor.Irc.ZET, BackDoor.IRC.Zet, BackDoor.Scard,
BackDoor.Small.3.AT, BackDoor.Small.3.W, BackDoor.Small.3.X,
Backdoor.Small.ADJ, Backdoor.Small.BQ, Backdoor.Wed.CJV,
Backdoor.Win32.Agent.ja, Backdoor.Win32.Small.bq,
Backdoor.Win32.Small.BQ, BackDoor-CJV, Bck/Small.CF,
BDS/Agent.JA, BDS/Small.BQ.4, BDS/Small.BQ.5, BKDR_SCARD.A,
Program.AP, Small.B, StartPage.c, TR/Drop.Small.OB,
TR/Small.AP.2, TROJ_SMALL.OB, TROJ_SMALL.PK, TROJ_SMALL.PL,
TROJ_STARTPAG.OY, Trojan.Agent.Ja, Trojan.Dropper.Small.OB,
Trojan.StartPage, Trojan.Win32.Small.ap, Trojan-
Dropper.Win32.Small.ob, TrojanDropper:Win32/Small.OB,
W32.Scard, W32/Agent.DOY, W32/Backdoor.BND,
W32/Generic.b.worm, W32/IRCBot.GN.worm, W32/Smalldrp.AFF,
W32/Startpage.AVA, W32/Startpage.OY,
Win32/IRCBot.Variant!Trojan, Win32/Small.NAA, Win32:Bagent,
Win32:Trojan-gen., Worm/Small.AI
Fecha: 2/mar/05
Plataforma: Windows XP y 2000
El gusano intenta propagarse a través de los recursos
compartidos ADMIN$ e IPC$, intentando conectarse a sistemas
remotos accesibles, a través de credenciales existentes o
intentando explotar contraseñas de administrador débiles (por
defecto, pocos caracteres, etc.). Las contraseñas incluidas
en el código del gusano para intentar esto son las
siguientes:
!@#$
!@#$%
!@#$%^
~!@#
000000
00000000
1111
111111
11111111
12
123
123!@#
1234
1234!@#$
12345
12345!@#$%
123456
1234567
12345678
54321
654321
888888
88888888
admin
fan@ing*
oracle
pass
passwd
password
root
secret
security
stgzs
super
El gusano posee funcionalidades de acceso remoto a través de
una puerta trasera.
Cuando se ejecuta, puede crear los siguientes archivos en la
carpeta del sistema:
c:\windows\system32\alerter.exe
c:\windows\system32\comwsock.dll
c:\windows\system32\dmsock.dll
c:\windows\system32\ietcom.dll
c:\windows\system32\inetcfg.h
c:\windows\system32\mst.tlb
c:\windows\system32\scardser.exe
c:\windows\system32\spc.exe
c:\windows\system32\spo0lsv.exe
c:\windows\system32\sptres.dll
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
NOTA: El gusano utiliza un caracter CERO en lugar de la
segunda letra "O" en el nombre del archivo "spo0lsv.exe",
para confundirse con otros archivos legítimos de Windows.
El componente SCARDSER.EXE instala las DLL COMWSCOK.DLL,
DMSOCK.DLL, IETCOM.DLL, SPTRES.DLL, las que luego inyectan al
propio gusano en los procesos activos de LSASS.EXE e
IEXPLORE.EXE de Windows.
COMWSCOK.DLL, también intenta inyectar en forma alternativa
los siguientes procesos:
explorer.exe
iexplore.exe
inetinfo.exe
msimn.exe
msmsgs.exe
msnmsgr.exe
outlook.exe
qq.exe
svchost.exe
Las otras DLL pueden descargar de sitios remotos de Internet,
otros archivos ejecutables, además de ayudar a la propagación
del propio gusano.
Crea las siguientes entradas para ejecutarse en cada reinicio
de Windows, y para descargar y ejecutar un archivo desde
Internet:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe [archivo del gusano]"
Dfile = "http://www.ab????ost.com/update/031.exe";
El archivo descargado es guardado como DMSTI.EXE.
El gusano también crea el siguiente servicio:
Nombre de servicio: netlog
Nombre para mostrar: Net Login Helper
Ruta de acceso al ejecutable: [camino]\SCardSer.exe
También modifica la ruta de acceso al ejecutable del servicio
"alerter" (Servicio de alerta), por la siguiente:
%System%\Alerter.exe
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system32\alerter.exe
c:\windows\system32\comwsock.dll
c:\windows\system32\dmsock.dll
c:\windows\system32\ietcom.dll
c:\windows\system32\inetcfg.h
c:\windows\system32\mst.tlb
c:\windows\system32\scardser.exe
c:\windows\system32\spc.exe
c:\windows\system32\spo0lsv.exe
c:\windows\system32\sptres.dll
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
3. En el panel de la derecha, buscar el siguiente valor:
Shell
4. Pinche con el botón derecho y seleccione "Modificar".
Escriba el siguiente valor y pulse "Aceptar":
Explorer.exe
5. En el panel de la derecha busque y borre el siguiente
valor:
Dfile
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Services
\Alerter
7. En el panel de la derecha busque el siguiente valor:
ImagePath
* Si el sistema operativo es Windows 2000 o NT, cambie su
contenido por el siguiente:
C:\WINNT\System32\services.exe
* Si el sistema operativo es Windows XP, cambie su contenido
por el siguiente:
C:\WINDOWS\System32\svchost.exe -k LocalService
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Services
9. En el panel de la derecha busque y borre el siguiente
valor:
NETLOG
10. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones de
la mayoría de los fabricantes son diarias. No existen los
"virus demasiados nuevos y sin antídotos", la reacción de las
casas de antivirus es inmediata en todos los casos. Pero
mejor pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 1864 Año 9, domingo 14 de agosto de 2005
|
VSantivirus No. 18
Responder a este mensaje
