VSantivirus No. 1060 Año 7, Lunes 2 de junio de 2003
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Los virus más reportados en VSAntivirus (mayo 2003)
2 - Desbordamiento de búfer en Net Monitor (Shell32.dll)
3 - La estafa del premio de la Lotería. Nuevo ejemplo
4 - W32/Sobig.C. Texto: "Please see the attached file."
_____________________________________________________________

1 - Los virus más reportados en VSAntivirus (mayo 2003)
_____________________________________________________________

http://www.vsantivirus.com/virus-report-may-03.htm

Los virus más reportados en VSAntivirus (mayo 2003)

Por Jose Luis Lopez
videosoft@videosoft.net.uy

Ya no resulta novedad encontrarse con el Klez encabezando
nuestras estadísticas. Y tal vez pecamos de inocentes
sorprendernos por ver en las mismas a gusanos como el
Sobig.B. Identificado al principio como Palyh (o Mankx),
dependiendo del fabricante de antivirus, se trata de un
gusano que se propaga simulando ser un mensaje auténtico
enviado por Microsoft (support@microsoft.com).

Y una vez más debemos afirmar algo que debería ser evidente.
Ni Microsoft ni ninguna empresa responsable, enviaría
adjuntos no solicitados a nadie. Y aún más, hoy día cualquier
mensaje con adjunto que no haya sido solicitado, VENGA DE
QUIEN VENGA, debería ser borrado inmediatamente.

Curiosamente, esta segunda variante del Sobig (por cierto, la
primera también figura en las estadísticas), venía con fecha
de vencimiento. Según su código, no se propagaría más allá
del 31 de mayo, porque así lo decidió su autor.

Sin embargo, ya tiene relevo. En las últimas horas del sábado
31, empezó a circular otra variante conocida como Sobig.C.
Según los primeros informes, su remitente parecía ser siempre
el mismo (como en los casos anteriores). Sin embargo su
rutina ha evolucionado con respecto a la versión B, y detrás
de un código sumamente encriptado, todavía esconde varias
sorpresas. Una de ellas, es que puede propagarse tomando
varias direcciones (todas falsas) como remitente, a pesar de
que las descripciones de algunos fabricantes aún no lo
mencionan.

La otra, es que también figura en su código una fecha, en
este caso 8 de junio. Aunque la mayoría de los laboratorios
antivirus que han examinado el código, afirman que esta fecha
sería de vencimiento, al menos uno dice lo contrario, o sea
que a partir de esa fecha podría activar su rutina de
propagación vía recursos compartidos en redes. Seguramente la
confusión se debe a lo apresurado por sacar las primeras
descripciones y actualizaciones, y a que el código del
gusano, como ya dijimos, está altamente encriptado,
dificultando su correcto análisis dentro de todos los
escenarios y condiciones posibles.

De todos modos es curioso que el autor fije fechas de
vencimiento. Seguramente lo hace para experimentar nuevas
técnicas, y ésta estrategia le permita usar el "mundo real"
como conejillo de India. Lo de las fechas podría permitirle
que sus diferentes creaciones no se "pisen" en el tiempo.
Cómo sea, hasta el momento de cerrar nuestra estadística (el
sábado 31), ya teníamos como 6 ejemplos del virus (en poco
más de 6 a 8 horas del primer reporte). Fuera de ese periodo,
nuestra red de monitoreo ya ha recibido algunos más, por lo
que seguramente esta versión del gusano, también tendrá su
"cuarto de hora".

Más allá de ello, el resto de las estadísticas no muestran
otras sorpresas. Incluso sigue por allí el Hybris. Sin dudas,
la más sencilla de las trampas (un enano "con algo
especial"), tiene más éxito que sofisticadas técnicas de
propagación.

Hasta el próximo mes...

* El ranking de mayo de 2003

Estos son los datos obtenidos por VSAntivirus en el período
comprendido entre el 1 y el 31 de mayo de 2003.

Total de mensajes monitoreados: 4.158
Total de virus reportados: 2.537

W32/Klez.H ................ 1002
W32/Sobig.B (Palyh.A) ..... 452
W32/Lovgate.H ............. 257
W32/Yaha.E ................ 152
W32/Fizzer.A .............. 101
W32/Bugbear.A (Tanatos) ... 87
W32/Sobig.A ............... 86
W32/Elkern.C .............. 73
W32/Sobig.A ............... 51
W32/Magistr.B ............. 41
W32/SirCam.A .............. 39
W32/Lovgate.J ............. 38
W32/Funlove.4099 .......... 29
W32/Hybris.B .............. 21
W32/Avril.B ............... 18
W32/Yaha.K ................ 15
W32/Avron ................. 14
W95/Spaces.1445 ........... 11
W32/Lovgate.C ............. 9
W32/Avril.C ............... 8
W32/Brid.A ................ 6
W32/Sobig.C ............... 6
W32/Gibe.B ................ 5
W32/Winevar.A ............. 5
JS/Fortnight.C ............ 4
W32/Klez.C ................ 4
W32/Duni (Kitro) .......... 2
W95/CIH ................... 1

* Cómo obtenemos estas estadísticas

Los datos de incidencia de virus reportados por Video Soft,
son capturados en una red de monitoreo que incluye desde
casos reportados directamente en nuestro servicio técnico,
hasta mensajes con muestras enviadas para su evaluación a
nuestra dirección especialmente creada para ello
(virus@videosoft.net.uy), además de los mensajes infectados
llegados a nuestros buzones de correo electrónico.

Se incluyen además de nuestras direcciones conocidas, un
sistema de monitoreo permanente implementado por Video Soft
desde setiembre de 2001, consistente a la fecha en más de 100
casillas de correo testigo, con varios dominios, que reciben
mensajes de varias listas de correo, páginas de ofertas, y
simple correo basura. Estas cuentas son filtradas y solo se
tiene en cuenta la existencia o no de código vírico o
potencialmente peligroso.

Puede obtener más información de los virus aquí reportados en
nuestro sitio, utilizando el buscador incorporado.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Desbordamiento de búfer en Net Monitor (Shell32.dll)
_____________________________________________________________

http://www.vsantivirus.com/vul-netmonitor-shell32.htm

Desbordamiento de búfer en Net Monitor (Shell32.dll)

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Net Monitor es una herramienta para analizar el tráfico que
se incluye con algunas versiones de Windows. El programa
permite analizar archivos de captura (.cap) además de
capturar el tráfico. Si se abre un archivo de captura cuyo
nombre tenga un largo de 252 bytes (caracteres), Net Monitor
se cierra con un mensaje de violación de acceso.

Ello sucede porque el Puntero de Instrucción del programa es
sobrescrito con el nombre del archivo convertido a UNICODE
(conjunto de caracteres ASCII que utiliza dos bytes en lugar
de uno para cada carácter). Básicamente Unicode proporciona
un número único para cada carácter, sin importar la
plataforma, ni el programa, ni el idioma, permitiendo un
fácil traspaso entre distintos sistemas de codificación y
plataformas.

El Puntero de Instrucción (IP), es el registro del procesador
que "apunta" a la dirección de memoria de la instrucción que
actualmente se está ejecutando. Cambiar ese dato hace que el
programa (y el propio procesador) pierdan el control de la
ejecución con resultados imprevisibles.

El desbordamiento también afecta las variables adyacentes en
la pila (stack), el espacio de memoria reservada para
almacenar las direcciones de retorno en tiempo de ejecución y
otra información importante para la ejecución de los
programas.

Para hacer uso malicioso de un código ejecutable mediante
este fallo, se tiene que situar el mismo en una variable de
entorno del sistema.

El fallo parece producirse al hacer la conversión a Unicode,
ya que se duplica la cantidad de bytes de la cadena del
nombre (de 252 bytes pasa a 504 bytes).

En el enlace al final de esta noticia, existe un exploit para
comprobar esta falla.

La vulnerabilidad, descubierta por David F. Madrid, redactor
de Nautopía y colaborador de VSAntivirus, fue informada hace
ya algunos meses a Microsoft. Ante la falta de respuestas
concretas (solo intercambios de mensajes solicitando más
pruebas, etc.), David resolvió hacerlo público.

La falla fue probada en Windows 2000 Server SP3, Shell32.dll
versión 5.0.3502.5436

Créditos: David F. Madrid

Relacionados:

Desbordamiento de buffer local en SHELL32.dll. Net monitor
http://maty.galeon.com/vulnerabilidades/shell32_getOpenFileNa
meW.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - La estafa del premio de la Lotería. Nuevo ejemplo
_____________________________________________________________

http://www.vsantivirus.com/scam-loteria.htm

Análisis de un SCAM: La estafa del premio de la Lotería

Por Jose Luis Lopez
videosoft@videosoft.net.uy

Se ha agregado un nuevo ejemplo a la estafa de la lotería. El
mismo hace referencia a un premio en el Reino Unido, SPOTTY
LOTTO PROMOTIONS UK. Vea el artículo completo con todos los
ejemplos en http://www.vsantivirus.com/scam-loteria.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

4 - W32/Sobig.C. Texto: "Please see the attached file."
_____________________________________________________________

http://www.vsantivirus.com/sobig-c.htm

Nombre: W32/Sobig.C
Tipo: Gusano de Internet
Alias: SOBIG.C, W32.Sobig.C@mm, W32/Sobig.c@MM, W32/Sobig.C-
mm, W32/Sobig.dam, Win32/Sobig.C, WORM_SOBIG.C
Fecha: 31/may/03
Plataforma: Windows 32-bit
Tamaño del adjunto: variable (55~59 Kb)
Tamaño del mensaje: variable (78~82 Kb)
Tamaño del virus: 59,211 bytes

1/jun/03 - Se ha detectado un aumento de incidencias de este
gusano, con varios remitentes en lugar de solo
"bill@microsoft.com" como se informó en un primer informe del
virus.

Se trata de una nueva versión del Sobig, y ha sido detectada
por primera vez el 31 de mayo. Los primeros reportes
indicaban que se propaga simulando ser un mensaje enviado por
el propio Bill Gates, el fundador de Microsoft. Sin embargo
en las últimas horas se ha detectado en nuestra propia red de
alertas, un aumento de incidencias, con mensajes provenientes
de diferentes remitentes.

Se recomienda actualizar las bases de datos de sus antivirus,
que ya han actualizado las mismas para reconocer esta
versión.

El gusano está compilado en Microsoft Visual C (MSVC) y
comprimido con una versión modificada de la herramienta UPX,
con la intención de dificultar su detección.

El gusano busca archivos con las extensiones .TXT, .EML,
.HTML, .HTM, .DBX y .WAB, en todos los discos duros, para
extraer direcciones de correo a las que luego se enviarán los
mensajes infectados. Esas extensiones incluyen además de
páginas Web en archivos temporales, las bases de mensajes y
los mensajes del Outlook Express y la libreta de direcciones
de Windows.

Para enviarse por correo, el gusano utiliza su propio motor
SMTP, no dependiendo del cliente de correo instalado.

Los mensajes enviados poseen las siguientes características:

Como remitente, utiliza direcciones falsas, incluso la del
propio usuario infectado. Algunos ejemplos (Nota: Estos son
solo ejemplos, puede tener cualquier dirección falsa):

bill@microsoft.com
a.miller@lmco.com
cheeky_monkey_07@hotmail.com
kelvinlim81@hotmail.com
suga_babe669@hotmail.com
soccer_chick_019@hotmail.com

Texto del mensaje (siempre el mismo):

Please see the attached file.

Como asunto, uno de los siguientes al azar:

Approved
Re: 45443-343556
Re: Application
Re: Approved
Re: Movie
Re: Screensaver
Re: Submited (004756-3463)
Re: Your application
Screensaver

Como datos adjuntos, el gusano con alguno de los siguientes
nombres.

45443.pif
application.pif
approved.pif
document.pif
documents.pif
movie.pif
screensaver.scr
submited.pif

Los archivos PIF (Windows Program Information), normalmente
son archivos utilizados para almacenar información
relacionada con la ejecución de los programas DOS, pero
también pueden incluir código en formatos EXE, COM o BAT en
su interior, el cuál puede ser ejecutado por el propio PIF.
En este caso son .EXE renombrados como PIF. Para el sistema
operativo esto no hace diferencia, y son ejecutados
directamente si el usuario hace doble clic sobre ellos.

Esta versión también utiliza adjuntos con extensión .SCR. Por
un error en el código, en algunos clientes de correo el
adjunto quedará renombrado como .PI o .SC, siendo en ese caso
inofensivo. También pueden recibirse mensajes del gusano sin
adjunto alguno.

Para seleccionar sus destinatarios, el gusano busca
direcciones en la máquina infectada, dentro de archivos con
las siguientes extensiones:

.wab
.dbx
.htm
.html
.eml
.txt

El gusano puede provocar mensajes de errores, ya que al
enviar sus mensajes puede hacerlo a la propia computadora
infectada, incluso con la propia dirección del usuario
infectado, como explicamos antes.

Crea los siguientes archivos, algunos copias de si mismo:

c:\windows\mscvb32.exe
c:\windows\msddr.dll
c:\windows\msddr.dat
c:\windows\system\mscvb.exe

El gusano modifica el registro para autoejecutarse en la
máquina infectada al reiniciarse ésta:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System MScvb = c:\windows\system\mscvb.exe

Otra opción:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System MScvb = c:\windows\mscvb32.exe

Si el sistema operativo es Windows NT, 2000 o XP, también
agrega este valor:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
System MScvb = c:\windows\mscvb32.exe

NOTA: "C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).

Si la fecha actual es anterior a la indicada como 08-06-2003
(8 de junio de 2003), cada 30 minutos el gusano enumera las
carpetas compartidas en red, y si tiene los permisos,
intentará propagarse a través de recursos compartidos en
redes, a otras computadoras, a los siguientes recursos
compartidos:

C$
D$
E$
IPC$

Windows 95, 98 y Me:

C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio

Windows XP y 2000:

C:\Documents and Settings
\All Users\Menú Inicio\Programas\Inicio

Windows NT:

C:\WinNT\Profiles
\All Users\Menú Inicio\Programas\Inicio

Las computadoras así infectadas, cargarán al gusano en
memoria cuando las mismas sean reiniciadas. En ocasiones, se
copia en los directorios raíz o en la carpeta actual.

El gusano tiene como fecha de desactivación el 8 de junio de
2003, por lo que podría estar activo hasta el 7/jun/03. Sin
embargo, puede ser actualizado descargando archivos de
diferentes sitios de Geocities. Estos sitios están
registrados en archivos .INI. Algunos de ellos:

http://www.geocities.com/vb[omitido]hptok/axccfa.txt
http://www.geocities.com/vb[omitido]rto/axcfa.txt
http://www.geocities.com/vb[omitido]hdgs/aadfa.txt

Hay que hacer notar que algún fabricante de antivirus indica
que esta fecha sería el comienzo y no el final de su rutina
de propagación vía redes. Esta discrepancia seguramente se
debe a la alta encriptación que presenta el gusano, lo que
dificulta su análisis primario.

El código del gusano contiene el siguiente texto:

Worm started
Poss.X

* Reparación manual

* Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

* Borrar los archivos creados por el gusano.

En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"

3. En "Nombre" ingrese (o corte y pegue), lo siguiente:

mscvb.exe ; mscvb32.exe ; msddr.dll ; msddr.dat

4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".

En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione Todos los archivos y carpetas

3. En "Todo o parte del nombre" ingrese (o corte y pegue), lo
siguiente:

mscvb.exe ; mscvb32.exe ; msddr.dll ; msddr.dat

4. Verifique que en "Buscar en:" esté seleccionado "C:"

5. Pinche en "Opciones avanzadas"

6. Seleccione "Buscar en carpetas del sistema"

7. Seleccione "Buscar en subcarpetas"

8. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".

* Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:

System MScvb

4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada
(podría no existir):

System MScvb

6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Información adicional

* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________