| Asunto: | VSantivirus No. 1957 Año 9, miércoles 16 de noviembr e de 2005 | | Fecha: | Miercoles, 16 de Noviembre, 2005 03:48:36 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1957 Año 9, miércoles 16 de noviembre de 2005
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Sober.W. Desactiva la red, finaliza antivirus
2 - Sober.V. Desactiva la red, finaliza antivirus
3 - Sober.U. Desactiva la red, finaliza antivirus
4 - Sober.S. Desactiva la red, finaliza antivirus
5 - Permitir sincronizar la hora de Windows en ZoneAlarm
_____________________________________________________________
1 - Sober.W. Desactiva la red, finaliza antivirus
_____________________________________________________________
http://www.vsantivirus.com/sober-w.htm
Nombre: W32/Sober.W
Nombre NOD32: Win32/Sober.W
Tipo: Gusano de Internet
Alias: Sober.W, DR/Sober.W, Dropper/Sober.W, Email-
Worm.Win32.Sober.w, Email-Worm.Win32.Sober.W, I-
Worm/Sober.CB, W32/Sober.AA.worm, W32/Sober.U@mm,
W32/Sober.V@mm, W32/Sober.X-dr, W32/Sober-S,
Win32.HLLM.Sober, Win32.Sober.S, Win32.Sober.W@mm,
Win32/Sober.W, Win32:Sober-W, Worm.Sober.T, Worm.Sober.W
Fecha: 15/nov/05
Plataforma: Windows 32-bit
Tamaño: varios, 148,256 bytes (ASPACK)
Escrito en Microsoft Visual Basic, este gusano se propaga por
correo electrónico, o es enviado en forma de spam.
Su tamaño varía, porque agrega basura a su código cada vez
que se instala.
Los mensajes tienen asuntos y textos en inglés o alemán.
Utiliza su propio motor SMTP, de modo que no depende del
cliente utilizado por la víctima para enviarse.
El envío masivo de mensajes, afecta notoriamente el
rendimiento de la conexión a Internet del usuario infectado.
Cuando se ejecuta en Windows XP Service Pack 2, el gusano
impide que el sistema infectado se pueda conectar a una red.
También finaliza la ejecución de la herramienta de
eliminación de software malintencionado de Microsoft,
impidiendo que la misma se ejecute.
Intenta finalizar la ejecución de varios antivirus.
El remitente siempre es falso, y es seleccionado al azar de
la lista de direcciones a las que el gusano se envía.
El gusano envía los mensajes en alemán, cuando la dirección
del destinatario tiene una de las siguientes extensiones:
.at
.ch
.de
.li
También los envía en alemán si existe la cadena GMX en el
dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro
caso, los envía en inglés.
Mensajes en inglés:
De: [remitente falso]
Asunto:
Your email
Texto del mensaje:
Hello,
Sorry, sorry sorry, because,, my English is not the best!
ok, I've got an email with an Excel-Table. But I am not
the recipient, the recipient are you!
I think, it's an mail error!
OK, here is your table back!
cya....
Datos adjuntos:
excel_table.zip
Mensaje en alemán:
De: [remitente falso]
Asunto:
Ihre eMail!
Texto del mensaje:
Guten Tag,
Ok, hier haben Sie sie wieder zurueck!
Tabelle jemand schickte mir eine Mail mit einer Excel
oder Access Tabelle (kenne mich da nicht so aus!).
Jedenfalls ist diese Mail aber an ihre Mail Adresse
adressiert, aber zu meiner gekommen??? Ist wohl irgendein
Fehler.
Datos adjuntos:
Tabelle.zip
En ambos casos, el archivo .ZIP contiene el ejecutable del
gusano.
El gusano solo se ejecuta cuando el usuario hace doble clic
sobre el adjunto. Cuando ello sucede, se muestra una falsa
ventana de error con el siguiente texto:
AntiVirus
No Viruses, Trojans or Spyware found!
Status: OK
[ OK ]
Mientras ello sucede, el gusano crea las carpetas
"ConnectionStatus\Microsoft" dentro de la carpeta de Windows,
y se copia allí con el siguiente nombre:
c:\windows\ConnectionStatus\Microsoft\SERVICES.EXE
También crea el siguiente archivo:
c:\windows\HJGERHDS.EXE
Además crea los siguientes archivos dentro de la carpeta del
sistema en Windows:
c:\windows\system32\bbvmwxxf.hml
c:\windows\system32\gdfjgthv.cvq
c:\windows\system32\langeinf.lin
c:\windows\system32\nonrunso.ber
c:\windows\system32\rubezahl.rub
c:\windows\system32\runstop.rst
NOTA: En todos los casos, "c:\windows" y
"c:\windows\system32" pueden variar de acuerdo al sistema
operativo instalado ("c:\winnt", "c:\winnt\system32",
"c:\windows\system", etc.).
Crea las siguientes entradas para auto ejecutarse en cada
reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
_WinCheck = "c:\windows\ConnectionStatus\Microsoft\services.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinCheck = "c:\windows\ConnectionStatus\Microsoft\services.exe"
El gusano utiliza su propio motor SMTP (Simple Mail Transfer
Protocol), para enviarse en forma masiva.
Obtiene las direcciones de archivos con las siguientes
extensiones:
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml
Las direcciones seleccionados, son las que tengan los
siguientes dominios:
.at
.com
.ch
.de
.net
Evita aquellas direcciones que contengan las siguientes
cadenas en su nombre:
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@msn
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
host.
icrosoft
ipt.aol
law2
mailer-daemon
mantec
me@
mozilla
msdn.
mustermann@
nlpmail01.
nothing
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
t-dialin
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
Utiliza cualquiera de los siguientes servidores SMTP para
enviar los mensajes infectados:
mail.ainet.at
mail.arcor.de
mail.bigpond.com
mail.eplus-online.de
mail.genion.de
mail.imail.de
mail.optusnet.com.au
mail.ozemail.com.au
mail.restena.lu
mail.salzburg-online.at
mail.tiscali.ch
mail.tutopia.com
mail.verizon.net.do
smtp.1und1.de
smtp.ameritech.yahoo.com
smtp.cityweb.de
smtp.comcast.net
smtp.compuserve.de
smtp.fastwebnet.it
smtp.omantel.net.om
smtp.planet-interkom.de
smtp.pop.debitel.net
smtp.tele2
smtp.tiscali.de
smtp.worldonline.de
smtpauth.bluewin.ch
smtpauth.earthlink.net
Cuando se ejecuta en Windows XP SP2, el gusano modifica el
archivo TCPIP.SYS en c:\windows\system32\drivers, para
impedir la conexión a una red. El archivo TCPIP.SYS queda
inutilizable.
El gusano monitorea constantemente la lista de procesos
activos. Si en dicha lista aparece el archivo MRT.EXE, impide
su ejecución. Este archivo corresponde a la herramienta de
eliminación de software malintencionado de Microsoft.
También intenta finalizar cualquier aplicación cuyo nombre
contenga partes de estas cadenas de caracteres:
avwin.
brfix
fixsob
fxsob
gcas
gcip
giantanti
guardgui.
hijack
inetupd.
microsoftanti
nod32.
nod32kui
sober
s-t-i-n
stinger
El gusano mantiene activos varios procesos en memoria para
permanecer siempre residente. Si se elimina cualquiera de
ellos, los demás crean un nuevo proceso.
* Reparación manual
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Cómo recuperar TCPIP.SYS (solo Windows XP SP2):
IMPORTANTE: Para recuperar el archivo TCPIP.SYS en Windows XP
SP2, siga las instrucciones del siguiente enlace:
Cómo recuperar archivos borrados (98, Me, XP)
http://www.vsantivirus.com/faq-sfc.htm
NOTA: TCPIP.SYS debe quedar en la siguiente ubicación:
C:\WINDOWS\system32\drivers\tcpip.sys
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Sober.V. Desactiva la red, finaliza antivirus
_____________________________________________________________
http://www.vsantivirus.com/sober-v.htm
Nombre: W32/Sober.V
Nombre NOD32: Win32/Sober.V
Tipo: Gusano de Internet
Alias: Sober.V, DR/Sober.T, Dropper/Sober.T, Email-
Worm.Win32.Sober.t, I-Worm/Sober.V, W32.Sober.W@mm,
W32/Sober.AE.worm, W32/Sober.s.dr, W32/Sober.T-mm,
W32/Sober.V@mm, W32/Sober.W@mm, W32/Sober-T,
Win32.HLLM.Sober, Win32.Sober.X@mm,
Win32/Sober.135968!Trojan, Win32/Sober.V, Win32:Sober-Y,
Worm.Sober.T2, Worm.Sober.T-6
Fecha: 15/nov/05
Plataforma: Windows 32-bit
Tamaño: varios, 135,968 bytes (FSG)
Escrito en Microsoft Visual Basic, este gusano se propaga por
correo electrónico, o es enviado en forma de spam.
Su tamaño varía, porque agrega basura a su código cada vez
que se instala.
Los mensajes tienen asuntos y textos en inglés o alemán.
Utiliza su propio motor SMTP, de modo que no depende del
cliente utilizado por la víctima para enviarse.
El envío masivo de mensajes, afecta notoriamente el
rendimiento de la conexión a Internet del usuario infectado.
Cuando se ejecuta en Windows XP Service Pack 2, el gusano
impide que el sistema infectado se pueda conectar a una red.
También finaliza la ejecución de la herramienta de
eliminación de software malintencionado de Microsoft,
impidiendo que la misma se ejecute.
Intenta finalizar la ejecución de varios antivirus.
El remitente siempre es falso, y es seleccionado al azar de
la lista de direcciones a las que el gusano se envía.
El gusano envía los mensajes en alemán, cuando la dirección
del destinatario tiene una de las siguientes extensiones:
.at
.ch
.de
.li
También los envía en alemán si existe la cadena GMX en el
dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro
caso, los envía en inglés.
Mensajes en inglés:
De: [remitente falso]
Asunto:
I've got your email on my account
Texto del mensaje:
First, my English is very bad! Sorry about this.
Ok, I've got an email in my box, but this email is not
for me, because, I'm not the recipient! The recipient are
you!
This must be an email-provider error, but I don't know!
I have made a Screenshot about this mail and saved then
in a zipped jpeg file for you.
ok then,
bye
Datos adjuntos:
email_photo.zip
Mensaje en alemán:
De: [remitente falso]
Asunto:
Ich habe Ihre E-Mail erhalten
Texto del mensaje:
Danke fur Ihre Email ....
Sie haben aber Ihre Mail wahrscheinlich falsch
adressiert, naemlich an mich. Ich kenne sie aber nicht!
Oder Ihr Provider hat die eMail falsch weiter geleitet?
Um mich zu entlasten, schicke ich Ihnen das (!.!) Foto
wieder zurueck.
MfG
Sender
Datos adjuntos:
Foto.zip
En ambos casos, el archivo .ZIP contiene el ejecutable del
gusano.
El gusano solo se ejecuta cuando el usuario hace doble clic
sobre el adjunto. Cuando ello sucede, se muestra una falsa
ventana de error con el siguiente texto:
Windows
Error in Graphic Data
[ OK ]
Mientras ello sucede, el gusano crea las carpetas
"ConnectionStatus\Microsoft" dentro de la carpeta de Windows,
y se copia allí con el siguiente nombre:
c:\windows\ConnectionStatus\Microsoft\SERVICES.EXE
También crea el siguiente archivo:
c:\windows\VVVFDSQQ.EXE
Además crea los siguientes archivos dentro de la carpeta del
sistema en Windows:
c:\windows\system32\bbvmwxxf.hml
c:\windows\system32\gdfjgthv.cvq
c:\windows\system32\langeinf.lin
c:\windows\system32\nonrunso.ber
c:\windows\system32\rubezahl.rub
c:\windows\system32\runstop.rst
NOTA: En todos los casos, "c:\windows" y
"c:\windows\system32" pueden variar de acuerdo al sistema
operativo instalado ("c:\winnt", "c:\winnt\system32",
"c:\windows\system", etc.).
Crea las siguientes entradas para auto ejecutarse en cada
reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
_WinCheck = "c:\windows\ConnectionStatus\Microsoft\services.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinCheck = "c:\windows\ConnectionStatus\Microsoft\services.exe"
El gusano utiliza su propio motor SMTP (Simple Mail Transfer
Protocol), para enviarse en forma masiva.
Obtiene las direcciones de archivos con las siguientes
extensiones:
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml
Las direcciones seleccionados, son las que tengan los
siguientes dominios:
.at
.com
.ch
.de
.net
Evita aquellas direcciones que contengan las siguientes
cadenas en su nombre:
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@msn
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
host.
icrosoft
ipt.aol
law2
mailer-daemon
mantec
me@
mozilla
msdn.
mustermann@
nlpmail01.
nothing
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
t-dialin
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
Utiliza cualquiera de los siguientes servidores SMTP para
enviar los mensajes infectados:
mail.ainet.at
mail.arcor.de
mail.bigpond.com
mail.eplus-online.de
mail.genion.de
mail.imail.de
mail.optusnet.com.au
mail.ozemail.com.au
mail.restena.lu
mail.salzburg-online.at
mail.tiscali.ch
mail.tutopia.com
mail.verizon.net.do
smtp.1und1.de
smtp.ameritech.yahoo.com
smtp.cityweb.de
smtp.comcast.net
smtp.compuserve.de
smtp.fastwebnet.it
smtp.omantel.net.om
smtp.planet-interkom.de
smtp.pop.debitel.net
smtp.tele2
smtp.tiscali.de
smtp.worldonline.de
smtpauth.bluewin.ch
smtpauth.earthlink.net
Cuando se ejecuta en Windows XP SP2, el gusano modifica el
archivo TCPIP.SYS en c:\windows\system32\drivers, para
impedir la conexión a una red. El archivo TCPIP.SYS queda
inutilizable.
El gusano monitorea constantemente la lista de procesos
activos. Si en dicha lista aparece el archivo MRT.EXE, impide
su ejecución. Este archivo corresponde a la herramienta de
eliminación de software malintencionado de Microsoft.
También intenta finalizar cualquier aplicación cuyo nombre
contenga partes de estas cadenas de caracteres:
avwin.
brfix
fixsob
fxsob
gcas
gcip
giantanti
guardgui.
hijack
inetupd.
microsoftanti
nod32.
nod32kui
sober
s-t-i-n
stinger
El gusano mantiene activos varios procesos en memoria para
permanecer siempre residente. Si se elimina cualquiera de
ellos, los demás crean un nuevo proceso.
* Reparación manual
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Cómo recuperar TCPIP.SYS (solo Windows XP SP2):
IMPORTANTE: Para recuperar el archivo TCPIP.SYS en Windows XP
SP2, siga las instrucciones del siguiente enlace:
Cómo recuperar archivos borrados (98, Me, XP)
http://www.vsantivirus.com/faq-sfc.htm
NOTA: TCPIP.SYS debe quedar en la siguiente ubicación:
C:\WINDOWS\system32\drivers\tcpip.sys
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Sober.U. Desactiva la red, finaliza antivirus
_____________________________________________________________
http://www.vsantivirus.com/sober-u.htm
Nombre: W32/Sober.U
Nombre NOD32: Win32/Sober.U
Tipo: Gusano de Internet
Alias: Sober.U, DR/Sober.X, Dropper/Sober.X, Email-
Worm.Win32.Sober.v, I-Worm.Sober.v7, I-Worm/Sober.U,
Malware.n, Net-Worm.Win32.Mytob.X, W32/Sober.AC.worm,
W32/Sober.GEN@MM, W32/Sober.U@mm, W32/Sober.W-dr, W32/Sober-
R, W32/VB.MO, Win32.HLLM.Sober, Win32.Sober.R,
Win32.Sober.V@mm, Win32/Sober.U, Win32:Sober-X3,
Worm.Mytob.T-2, Worm.Sober.V
Fecha: 15/nov/05
Plataforma: Windows 32-bit
Tamaño: varios, 135,680 bytes (PE_PATCH, UPACK)
Escrito en Microsoft Visual Basic, este gusano se propaga por
correo electrónico, o es enviado en forma de spam.
Su tamaño varía, porque agrega basura a su código cada vez
que se instala.
Los mensajes tienen asuntos y textos en inglés o alemán.
Utiliza su propio motor SMTP, de modo que no depende del
cliente utilizado por la víctima para enviarse.
El envío masivo de mensajes, afecta notoriamente el
rendimiento de la conexión a Internet del usuario infectado.
Cuando se ejecuta en Windows XP Service Pack 2, el gusano
impide que el sistema infectado se pueda conectar a una red.
También finaliza la ejecución de la herramienta de
eliminación de software malintencionado de Microsoft,
impidiendo que la misma se ejecute.
Intenta finalizar la ejecución de varios antivirus.
El remitente siempre es falso, y es seleccionado al azar de
la lista de direcciones a las que el gusano se envía.
El gusano envía los mensajes en alemán, cuando la dirección
del destinatario tiene una de las siguientes extensiones:
.at
.ch
.de
.li
También los envía en alemán si existe la cadena GMX en el
dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro
caso, los envía en inglés.
Mensajes en inglés:
De: [remitente falso]
Asunto:
Thanks for your registration.
Texto del mensaje:
Thanks for your registration!
We have received your payment.
For more detailed information, read the attached text.
Datos adjuntos:
reg_text.zip
Mensaje en alemán:
De: [remitente falso]
Asunto:
Hi, Ich bin's
Texto del mensaje:
Hier ist die Liste die du haben wolltest.
Du solltest dich aber auch eintragen!
OK, bis dann
Datos adjuntos:
Liste.zip
En ambos casos, el archivo .ZIP contiene el ejecutable del
gusano.
El gusano solo se ejecuta cuando el usuario hace doble clic
sobre el adjunto. Cuando ello sucede, se muestra una falsa
ventana de error con el siguiente texto:
Windows
Error: Text-File not complete
[ OK ]
Mientras ello sucede, el gusano crea las carpetas
"ConnectionStatus\Microsoft" dentro de la carpeta de Windows,
y se copia allí con el siguiente nombre:
c:\windows\ConnectionStatus\Microsoft\SERVICES.EXE
También crea el siguiente archivo:
c:\windows\HJGERHDS.EXE
Además crea los siguientes archivos dentro de la carpeta del
sistema en Windows:
c:\windows\system32\bbvmwxxf.hml
c:\windows\system32\gdfjgthv.cvq
c:\windows\system32\langeinf.lin
c:\windows\system32\nonrunso.ber
c:\windows\system32\rubezahl.rub
c:\windows\system32\runstop.rst
NOTA: En todos los casos, "c:\windows" y
"c:\windows\system32" pueden variar de acuerdo al sistema
operativo instalado ("c:\winnt", "c:\winnt\system32",
"c:\windows\system", etc.).
Crea las siguientes entradas para auto ejecutarse en cada
reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
_WinCheck = "c:\windows\ConnectionStatus\Microsoft\services.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinCheck = "c:\windows\ConnectionStatus\Microsoft\services.exe"
El gusano utiliza su propio motor SMTP (Simple Mail Transfer
Protocol), para enviarse en forma masiva.
Obtiene las direcciones de archivos con las siguientes
extensiones:
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml
Las direcciones seleccionados, son las que tengan los
siguientes dominios:
.at
.com
.ch
.de
.net
Evita aquellas direcciones que contengan las siguientes
cadenas en su nombre:
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@msn
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
host.
icrosoft
ipt.aol
law2
mailer-daemon
mantec
me@
mozilla
msdn.
mustermann@
nlpmail01.
nothing
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
t-dialin
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
Utiliza cualquiera de los siguientes servidores SMTP para
enviar los mensajes infectados:
mail.ainet.at
mail.arcor.de
mail.bigpond.com
mail.eplus-online.de
mail.genion.de
mail.imail.de
mail.optusnet.com.au
mail.ozemail.com.au
mail.restena.lu
mail.salzburg-online.at
mail.tiscali.ch
mail.tutopia.com
mail.verizon.net.do
smtp.1und1.de
smtp.ameritech.yahoo.com
smtp.cityweb.de
smtp.comcast.net
smtp.compuserve.de
smtp.fastwebnet.it
smtp.omantel.net.om
smtp.planet-interkom.de
smtp.pop.debitel.net
smtp.tele2
smtp.tiscali.de
smtp.worldonline.de
smtpauth.bluewin.ch
smtpauth.earthlink.net
Cuando se ejecuta en Windows XP SP2, el gusano modifica el
archivo TCPIP.SYS en c:\windows\system32\drivers, para
impedir la conexión a una red. El archivo TCPIP.SYS queda
inutilizable.
El gusano monitorea constantemente la lista de procesos
activos. Si en dicha lista aparece el archivo MRT.EXE, impide
su ejecución. Este archivo corresponde a la herramienta de
eliminación de software malintencionado de Microsoft.
También intenta finalizar cualquier aplicación cuyo nombre
contenga partes de estas cadenas de caracteres:
avwin.
brfix
fixsob
fxsob
gcas
gcip
giantanti
guardgui.
hijack
inetupd.
microsoftanti
nod32.
nod32kui
sober
s-t-i-n
stinger
El gusano mantiene activos varios procesos en memoria para
permanecer siempre residente. Si se elimina cualquiera de
ellos, los demás crean un nuevo proceso.
* Reparación manual
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Cómo recuperar TCPIP.SYS (solo Windows XP SP2):
IMPORTANTE: Para recuperar el archivo TCPIP.SYS en Windows XP
SP2, siga las instrucciones del siguiente enlace:
Cómo recuperar archivos borrados (98, Me, XP)
http://www.vsantivirus.com/faq-sfc.htm
NOTA: TCPIP.SYS debe quedar en la siguiente ubicación:
C:\WINDOWS\system32\drivers\tcpip.sys
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Sober.S. Desactiva la red, finaliza antivirus
_____________________________________________________________
http://www.vsantivirus.com/sober-s.htm
Nombre: W32/Sober.S
Nombre NOD32: Win32/Sober.S
Tipo: Gusano de Internet
Alias: Sober.S, Win32/Sober.S
Fecha: 15/nov/05
Plataforma: Windows 32-bit
Tamaño: varios
Escrito en Microsoft Visual Basic, este gusano se propaga por
correo electrónico, o es enviado en forma de spam.
Básicamente es similar a Win32/Sober.X.
* Más información e instrucciones de limpieza:
Sober.X. Desactiva la red, finaliza antivirus
http://www.vsantivirus.com/sober-x.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Permitir sincronizar la hora de Windows en ZoneAlarm
_____________________________________________________________
http://www.vsantivirus.com/faq-za-windows-time.htm
Permitir sincronizar la hora de Windows en ZoneAlarm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Windows XP puede sincronizarse regularmente con un servidor
de hora de Internet (normalmente una vez a la semana).
Esto puede fallar si no se dispone de una conexión continua a
Internet (banda ancha, cable o ADSL), pero también lo puede
bloquear un cortafuego que no sea el del propio XP.
Por ejemplo, ZoneAlarm puede bloquear el intento de la
conexión, con un mensaje como el siguiente:
ZoneAlarm prevented your computer from accessing
port 123 on another computer. ZoneAlarm has blocked
an outgoing communication from your computer to a
remote computer whose IP address is 207.46.130.100.
El puerto 123 es el normalmente utilizado para el protocolo
de sincronización de tiempo (Protocolo de Tiempo de la Red o
NTP por sus siglas en inglés).
NOTA: Si se tiene configurado ZoneAlarm para no mostrar
avisos, es posible que no se llegue a mostrar nunca el
mensaje anterior, y que tampoco se sepa que la hora de
Windows no está siendo sincronizada. De cualquier modo siga
los pasos indicados en "Para habilitar la conexión, siga
estos pasos", para descubrir si los intentos fallidos han
quedado registrados y en ese caso, habilitar la
sincronización.
Y si no se modificó la configuración de la hora de Windows
(se pueden seleccionar varios servidores), por defecto
intentará conectarse a la dirección IP 207.46.130.100, la
cuál pertenece a time.windows.com, la primera opción en la
configuración de Hora de Internet (clic en la hora que
aparece en la barra de tareas -extremo inferior derecho de la
pantalla-, lengüeta "Hora de Internet").
El mensaje de advertencia del ZA también hará referencia a
esa dirección.
* Para habilitar la conexión, siga estos pasos.
1. Abra el ZA haciendo clic sobre el icono del mismo, al lado
del reloj de Windows.
2. Seleccione "Alerts & logs", lengüeta "Log viewer".
3. Busque una entrada donde aparezca en la columna
"Destination IP" lo siguiente:
207.46.130.100:123
4. Seleccione dicha línea y pulse el botón derecho del mouse
sobre ella.
5. Seleccione "Add to zone", "Trusted".
6. Ingrese una descripción (por ejemplo "Hora de Windows") y
haga clic en OK.
También puede agregar la dirección 207.46.130.100 antes de
que se produzca el primer bloqueo. Para ello, siga estos
pasos:
1. Abra el ZA y seleccione "Firewall", lengüeta "Zones".
2. Haga clic en el botón "Add >>", y seleccione "IP Adress".
En Zone debe aparecer "Trusted".
3. Agregue en "IP Adress" la siguiente:
207.46.130.100
4. En "Description" ponga por ejemplo "Hora de Windows".
5. Haga clic en OK.
Si desea actualizar la hora sin esperar la próxima
sincronización automática, haga clic en la hora que aparece
en la barra de tareas, lengüeta "Hora de Internet", y pinche
en el botón "Actualizar ahora".
NOTA: Además de "time.windows.com", Windows ofrece como
alternativa la dirección "time.nist.gov". En ese caso, en
lugar de 207.46.130.100, utilice la siguiente dirección IP:
192.43.244.18
* Relacionados:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones de
la mayoría de los fabricantes son diarias. No existen los
"virus demasiados nuevos y sin antídotos", la reacción de las
casas de antivirus es inmediata en todos los casos. Pero
mejor pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 1957 Año 9, miércoles 16 de noviembre de 2005
|
VSantivirus No. 19
Responder a este mensaje
