* Más información sobre Gator en VSAntivirus
Gator sigue siendo un troyano para algunos antivirus
http://www.vsantivirus.com/08-03-02.htm
Gator permite la descarga y ejecución de troyanos
http://www.vsantivirus.com/vul-gator.htm
Gator juega sucio
http://www.vsantivirus.com/29-08-01.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Festival.A. Se propaga por IRC, KaZaa, correo y redes
_____________________________________________________________
http://www.vsantivirus.com/festival-a.htm
Nombre: W32/Festival.A
Tipo: Gusano de Internet
Alias: Festival, W32/Festival, Win32/Festival, VBS/Festival,
I-Worm.Festival
Plataforma: Windows 32-bit
Fecha: 3/jun/03
Tamaño: 25,088 bytes
Este gusano escrito en Microsoft Visual Basic 5 y comprimido
con la herramienta UPV, se propaga a través de la red de
intercambio de archivos entre usuarios KaZaa, del correo
electrónico, de los canales de chat (IRC) y de recursos
compartidos en red. No realiza ninguna acción destructiva
A través del correo electrónico, utiliza mensajes como el
siguiente para propagarse a direcciones recolectadas en
diversos archivos de la máquina infectada:
Asunto: Where are you?
Datos adjuntos: Festival.exe
Texto:
Hi!
Where are you?
I enjoy speaking with you
Simdi icinden buda kim diyorsundur
Cuando se ejecuta, crea los siguientes archivos:
c:\festival.vbs
c:\festival.exe
c:\windows\system\systemcheck.exe
Además, crea 264 copias de si mismo en las siguientes
carpetas, algunas creadas por él mismo (\paylasim):
c:\
c:\windows
c:\windows\system32\paylasim
También se copia en la carpeta compartida por defecto del
KaZaa, y en el directorio donde se ejecute el gusano.
Además crea las siguientes entradas en el registro, la
primera de ellas para autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
SystemCheck = c:\windows\system\systemcheck.exe
HKCU\Software\Microsoft\infectious
My_Name = Festival
HKCU\Software\Microsoft\infectious
Possessor = 0x06.0x15.0x06.0x0F.0x0C.0X0F.0X0C
HKCU\Software\xolox
Antivirus Check
HKCU\Software\xolox
Antivirus Program
HKCU\Software\xolox
Shareddirs = c:\windows\system32\paylasim
Con estas últimas entradas, también comparte la carpeta
"paylasim" creada por él mismo, con los demás usuarios de la
red KaZaa. En estas carpetas se copiará con los siguientes
nombres (entre otros):
Firewall Hack.Exe
Free Divx.Exe
Ftp Password Crack.Exe
Half Life Cdkey.Exe
How Hack.Exe
Julia Roberts.Exe
Kaspersky.Exe
Linux Worm.Exe
Matrix Cheat.Exe
Matrix Reloaded Trainer.Exe
Matrix Reloaded.Exe
Matrix Zion.Exe
Messenger Hack.Exe
Ms Office Xp Service Pack.Exe
Mssql2000.Exe
Office.Exe
Raptor.Exe
Sniffer.Exe
Trinity Dream.Exe
Windows 2000 Password Hack.Exe
Yahoo Hack.Exe
Zion.Exe
Para propagarse a través de los canales de IRC (Internet
Relay Chat), el gusano envía una copia de si mismo (el
archivo FESTIVAL.EXE) a todos los usuarios conectados al
mismo canal en que participe el usuario infectado, sin
importar el cliente utilizado.
Finalmente el gusano puede copiarse en todas las unidades de
red compartidas en las que tenga permiso de escritura, con
los mismos nombres vistos antes.
* Reparación manual
* Deshabilitar recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este
programa, hasta haber quitado el gusano del sistema, para
prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" >
"Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa
folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\systemcheck.exe
c:\festival.vbs
c:\festival.exe
También borre la carpeta "\paylasim\"
c:\windows\system32\paylasim
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
SystemCheck
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\infectious
5. Pinche en la carpeta "infectious" y bórrela.
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\xolox
7. Pinche en la carpeta "xolox" y bórrela.
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* El IRC y los virus
Se recomienda precaución al recibir archivos a través de los
canales de IRC. Sólo acepte archivos que usted ha pedido,
pero aún así, jamás los abra o ejecute sin revisarlos antes
con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar
respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su
configuración, funciones como "send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la
configuración de "DCC" para transferencia de archivos,
selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de
éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Maddas.A. Falso tema: "BushLovesSaddam.theme"
_____________________________________________________________
http://www.vsantivirus.com/maddas-a.htm
Nombre: W32/Maddas.A
Tipo: Gusano de Internet
Alias: I-Worm.Maddas, Win32/Maddas.A, W32/Saddam, VBS/Saddam
Fecha: 31/may/03
Plataforma: Windows 32-bit
Este gusano se propaga a través de Internet, adjunto a
mensajes simulando ser un archivo de configuración del
escritorio de Windows (tema).
El archivo, llamado "BushLovesSaddam.theme" contiene un
script en Visual Basic. Al abrir dicho archivo e intentar
visualizar el protector de pantalla incluido en el tema, el
gusano escribe copias de si mismo con el nombre de
"recycled.bat" en el raíz del disco C y luego lo ejecuta.
Este archivo crea otro archivo, llamado "kernel.vbs" en la
carpeta de Windows. Este script en Visual Basic contiene el
código para propagar al gusano.
Para enviar los mensajes infectados, el gusano utiliza las
funciones MAPI del Microsoft Outlook (y Outlook Express), y
se envía a todas los contactos de la libreta de direcciones
del Outlook.
Los mensajes tienen estas características:
Asunto: A free Desktop Theme for Saddam and Bush!
Datos adjuntos: BushLovesSaddam.theme
Texto:
Dear recipient,
Stop the war and make peace! View the Saddam
and Bush Desktop Theme.
To install this, open it and in your Desktop
Explorer, select Screen Saver button!
It is both side's fault. Think of the innocent!
From a bunch of people trying prove something.
Finalmente, el gusano despliega un mensaje falso:
Support Error
Unsupported Desktop theme type.
Please reinstall your Desktop Theme support.
[ OK ]
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\Windows\kernel.vbs
C:\recycled.bat
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Quitar el papel tapiz
Pinche con el botón derecho sobre cualquier área vacía del
escritorio, y seleccione Propiedades. En la lengüeta "Fondo"
seleccione el de su preferencia o "Ninguno".
* Información adicional
* Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script
Defender, utilidad que nos protege de la ejecución de
archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF,
.WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y
gusanos escritos en Visual Basic Script por ejemplo, ya no
nos sorprenderán.
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Troj/Backdoor.AVH. Troyano de acceso remoto
_____________________________________________________________
http://www.vsantivirus.com/back-avh.htm
Nombre: Troj/Backdoor.AVH
Tipo: Caballo de Troya de Acceso Remoto (RAS)
Alias: Backdoor.AVH, AVH
Fecha: 4/may/03
Puerto: TCP/8583 (por defecto)
Tamaño: 7.5 Kb ~
Plataforma: Windows 32-bit
Este caballo de Troya, programado en Assembler, permite que
un intruso pueda tomar el control de la computadora
infectada, obteniendo además información confidencial del
usuario infectado, la que es enviada a través de varios
servicios como el ICQMail.
El troyano suele distribuirse manualmente, generalmente bajo
la premisa de que es una inocente utilidad. Los canales de
distribución más usados son el correo electrónico, listas de
noticias (newsgroups), canales de IRC, y redes P2P como KaZaa
y otros. Generalmente se presenta como un archivo de nombre
NET.EXE.
Cuando el usuario lo ejecuta, el troyano se copia en la
carpeta de Windows:
c:\windows\net.exe
NOTA: En todos los casos, "C:\Windows" puede variar de
acuerdo al sistema operativo instalado (con ese nombre por
defecto en Windows 9x/ME y XP, y como "C:\WinNT" en Windows
NT/2000).
También crea las siguiente entrada en el registro para
autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
net = c:\windows\net.exe
HKLM\SOFTWARE\Microsoft\Active Setup
\Installed Components\net
El troyano es capaz de enviar la siguiente información al
usuario remoto, a través del ICQMail:
Dirección IP de la víctima
Nombre de la computadora infectada
Nombre de usuario y contraseñas
Puerto de conexión (puede variar)
Versión de Windows
En forma remota, las siguientes acciones pueden ser
realizadas por el atacante:
Cargar y descargar archivos
Crear, borrar y renombrar archivos y carpetas
Ejecutar programas
Formatear los discos duros
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
net
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Active Setup
\Installed Components
\net
5. Pinche en la carpeta "net" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
