(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Troj/DoS.Autocat. Troyano que realiza ataques DoS
_____________________________________________________________
http://www.vsantivirus.com/dos-autocat.htm
Nombre: Troj/DoS.Autocat
Tipo: Caballo de Troya
Alias: DoS.Autocat
Fecha: 18/may/03
Tamaño: 145 Kb, 99 Kb ~
Plataforma: Windows 32-bit
Se trata de una herramienta utilizada por piratas
informáticos para realizar ataques de denegación de servicio
(DoS). Estos ataques son realizados por medio del envío
masivo de paquetes ICMP a la víctima seleccionada.
Un ataque de D.o.S (Denial of Service, o negación de
servicio), hace que los servidores o cualquier computadora
conectada a Internet, reciban una sucesión de solicitudes de
servicio, con tal frecuencia y cantidad, que al no poder ser
respondidas van disminuyendo paulatinamente su rendimiento,
ocasionando casi siempre la caída del sistema, además de la
saturación del ancho de banda asignado.
ICMP (Protocolo de mensajes de control de Internet), es una
extensión del Protocolo de Internet (IP), y permite generar
mensajes de error, paquetes de prueba y mensajes informativos
relacionados con IP. Básicamente, se usa para comprobar la
existencia de la máquina consultada.
Cuando este troyano se ejecuta, realiza las siguientes
acciones.
Libera los siguientes archivos:
c:\windows\system\Wsock32l.dll
c:\windows\system\Wsock32s.dll
c:\windows\system\Wupdmgr32.exe
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
El archivo "Wupdmgr32.exe" puede ser un archivo legítimo en
algunas instalaciones de Windows, donde generalmente es
instalado en la carpeta de Windows. El troyano intenta
instalar el suyo en la carpeta System. Luego realiza los
siguientes cambios en el registro para autoejecutar este
archivo en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Windows Update Service = c:\windows\system\Wupdmgr32.exe
El troyano suele distribuirse manualmente, generalmente bajo
la premisa de que es una inocente utilidad. Los canales de
distribución más usados son el correo electrónico, listas de
noticias (newsgroups), canales de IRC, y redes P2P como KaZaa
y otros.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
3. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Microsoft Windows Update Service
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/SpyBot.A. Se propaga por KaZaa, desactiva antivirus
_____________________________________________________________
http://www.vsantivirus.com/spybot-a.htm
Nombre: W32/SpyBot.A
Tipo: Gusano de Internet (P2P)
Alias: Worm.P2P.SpyBot, Win32/SpyBot.A
Fecha: 25/may/03
Plataforma: Windows 32-bit
Este gusano, escrito en Visual C++, se propaga a través de
las redes P2P, y posee capacidades de caballo de Troya de
acceso trasero (backdoor).
Cuando se ejecuta en un equipo, se copia en la carpeta System
de Windows, con atributos de oculto (+H) (puede tener
cualquier nombre):
c:\windows\system\[nombre del gusano]
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
Luego se agrega a las siguientes entradas del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre del gusano] = c:\windows\system\[nombre del gusano]
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
[nombre del gusano] = c:\windows\system\[nombre del gusano]
En Windows 95, 98 y Me, el gusano no se muestra en la lista
de procesos activos al pulsar CTRL+ALT+SUPR.
También intenta desactivar los cortafuegos o antivirus que
estén ejecutándose.
Para propagarse, se copia en un directorio creado en la
carpeta Windows\System:
c:\windows\system\kazaabackupfiles
Luego, modifica la configuración del KaZaa para compartir ese
subdirectorio y su contenido (la copia del gusano), con otros
usuarios de dicho programa.
Cuando se activa como troyano, queda a la espera de comandos
enviados por un intruso.
Cuando recibe ordenes, el gusano busca en Internet
computadoras infectadas con algunos troyanos (Kuang y
SubSeven), y se copia él mismo a esas computadoras.
También puede realizar estas acciones:
- Obtiene información de la computadora infectada y del
usuario
- Obtiene todas las contraseñas del caché de Windows 9x
- Descarga en la máquina infectada un archivo desde un sitio
Web
- Borra, renombra o ejecuta cualquier archivo
- Realiza ataques DoS a otras computadoras
- Escanea puertos y direcciones IP predeterminadas
- Ejecuta un servidor HTTP oculto en la máquina infectada
- Guarda todo lo tecleado por la víctima, y el resultado
puede ser descargado desde el servidor HTTP.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este
programa, hasta haber quitado el gusano del sistema, para
prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" >
"Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa
folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre la carpeta
"kazaabackupfiles" y su contenido:
c:\windows\system\kazaabackupfiles
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la entrada del
troyano (el nombre varía, debe sacarlo de la descripción dada
por el antivirus antes).
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
5. Pinche en la carpeta "RunOnce" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la entrada
del troyano (el nombre varía, debe sacarlo de la descripción
dada por el antivirus antes).
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - IRC/Flood.E. Se propaga por recursos compartidos
_____________________________________________________________
http://www.vsantivirus.com/ircflood-e.htm
Nombre: IRC/Flood.E
Tipo: Caballo de Troya y Script de IRC
Alias: IRCFlood.E, IRC/Flood.cd, Backdoor.IRC.Flood.E
Fecha: 24/may/03
Tamaño: 847,270 bytes
Plataforma: Windows 32-bit
De la familia IRC/Flood, este troyano intenta conectarse a un
servidor IRC por el puerto 6667. Una vez conectado, queda a
la espera de los comandos enviados por un atacante.
Cuando se ejecuta por primera vez, el troyano crea los
siguientes archivos en la carpeta INF de Windows:
bootnt.dll
mcop.dll
msvs32.bat
ntlib32.exe
ntnwsys.ocx
ntzm32.dll
nwbt32.bat
pcc32.exe
smc32.exe
tskdbg.exe
De los archivos mencionados, los siguientes son scripts
maliciosos:
mcop.dll
ntnwsys.ocx
ntzm32.dll
Los archivos .BAT realizan la ejecución del troyano para
conectarse a Internet y para eliminar ciertos procesos
compartidos.
El archivo "tskdbg.exe" es el cliente de IRC que se conecta a
un servidor por el puerto 6667.
Los demás son archivos usados por el troyano, pero no poseen
código malicioso, y por lo tanto no suelen ser detectados por
los antivirus.
El troyano crea la siguiente entrada en el registro para
autoejecutarse en próximos reinicios de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
taskdebug = tskdbg.exe
Una vez en memoria, el troyano realiza las siguientes
acciones:
1. Intenta conectarse a un servidor de IRC por el puerto 6667
y queda a la espera de comandos.
2. Intenta lanzar el archivo "tskdgb.exe" en forma remota a
través de recursos compartidos en red. Se utiliza para ello
una herramienta legítima, "pcc32.exe". Esta herramienta es
conocida como "PsExec".
Antes, el archivo "tskdbg.exe" es copiado en la computadora
remota.
El troyano intenta una combinación de nombres de usuarios y
contraseñas para acceder a las máquinas remotas.
Los nombres usados son "Administrator", "Admin" y "Root", y
las contraseñas probadas las siguientes:
[vacío]
123
1234
12345
123456
321
4321
54321
654321
abc
abc123
Admin
admin
Administrator
changeme
Pass
pass
Password
password
root
También prueba la siguiente combinación de
usuario/contraseña:
Student/Student
student/student
Teacher/Teacher
teacher/teacher
Test/Test
test/test
User/User
user/user
Guest/guest
Finalmente, el troyano intentará remover del sistema los
siguientes recursos compartidos (esto no existe en todas las
versiones de Windows):
i$
j$
k$
l$
r$
ipc$
admin$
print$
g$
c$
m$
n$
o$
p$
h$
d$
e$
f$
s$
My Documents
Shared Docs
t$
u$
z$
v$
w$
x$
y$
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos dentro de la carpeta INF de Windows:
bootnt.dll
mcop.dll
msvs32.bat
ntlib32.exe
ntnwsys.ocx
ntzm32.dll
nwbt32.bat
pcc32.exe
smc32.exe
tskdbg.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
taskdebug
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
