|
|
|
|
|
VSantivirus No. 569 - Año 6 - Lunes 28 de enero de 2002 |
VSantivirus No. 569 - Año 6 - Lunes 28 de enero de 2002
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Disponible el parche para vulnerabilidad en RealPlayer
2 - VBS/Couple.A (VBS/LastScene.B). Descarga dos troyanos
3 - Troj/OptixKill.A. Desactiva todos los antivirus presentes
4 - Troj/Sub7.21b. Control total y clandestino del PC
_____________________________________________________________
1 - Disponible el parche para vulnerabilidad en RealPlayer
_____________________________________________________________
Disponible el parche para una vulnerabilidad en Real Player
(Extraído de VirusAttack!)
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=144
27/01/2002
RealNetworks, desarrolladora del producto, anunció
recientemente la disponibilidad de una corrección para un
agujero de seguridad en el más utilizado de sus productos,
que puede causar, potencialmente, la ejecución de código
arbitrario.
Tim Morgan, del sitio Sentinel Chicken Networks, descubrió
recientemente un problema de seguridad en el Real Player que
podría permitir el cuelgue de la aplicación, e incluso la
ejecución de código arbitrario, a través de un desbordamiento
de buffer.
Real Player, de RealNetworks, es una aplicación que permite
la reproducción de archivos multimedia, en forma local y a
través de Internet, y por ello es muy utilizado para
transmisiones de audio y video desde sitios web.
Específicamente, el problema se encuentra en el formato de
archivos que maneja el Real Player, en cuyo encabezado se
encuentran algunas cadenas que pueden ser manipuladas para
producir un desbordamiento en el procesador de estos
archivos.
Para demostrar la vulnerabilidad, sus descubridores
modificaron un archivo de ejemplo que forma parte del paquete
original de esta aplicación, cambiándole sólo 2 bytes en su
encabezado, el cual produce un funcionamiento inestable del
Real Player.
RealNetworks ya liberó un parche que corrige el problema en
las siguientes versiones afectadas:
Windows
RealOne Player
RealPlayer 8
RealPlayer 7
RealPlayer G2 (Build # 6.0.6.99 o superior)
RealPlayer Intranet 8
RealPlayer Intranet 7
UNIX
RealOne Player Alpha for Linux 2.2
RealPlayer 8 for UNIX
RealPlayer 7 for UNIX
También las versiones para Macintosh son vulnerables, y aún
no se ha liberado un parche para las versiones para las
plataformas HP-UX y Solaris, que estarán disponibles a la
brevedad.
Aunque hasta el momento no se han detectado problemas graves
a través de algún ataque que aproveche esta vulnerabilidad,
se recomienda que todos los usuarios de este producto lo
actualicen a la última versión disponible, la cual ya
contiene una corrección para este problema.
Más información
RealNetworks Inc. - Buffer Overrun Exploit
http://www.service.real.com/help/faq/security/bufferoverrun.html
Sentinel Chicken Networks - RealPlayer 8 Buffer Overflow
http://sentinelchicken.com/advisories/realplayer/
Virus Attack! - Parches para Real Player
http://virusattack.xnetwork.com.ar/parches/VerParche.php3?aplicacion=22
VSantivirus No. 554 - 13/ene/02
Manipulación de archivos de RealPlayer provoca su cuelgue
http://www.vsantivirus.com/vul-realplayer.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - VBS/Couple.A (VBS/LastScene.B). Descarga dos troyanos
_____________________________________________________________
Nombre: VBS/Couple.A (VBS/LastScene.B)
Tipo: Gusano de Internet
Alias: VBS/LastScene.B, WORM_COUPLE.A, COUPLE.A,
VBS_COUPLE.A, VBS_LASTSCENE.B, WORM_LASTSCENE.
Fecha: 27/ene/02
Tamaño: 412,192 Bytes
Plataforma: Windows
Este gusano de envío masivo, se propaga vía Outlook y utiliza
rutinas MAPI. Instala dos troyanos, uno de ellos una variante
del SubSeven.
En alguna parte del proceso (supuestamente por descarga desde
un sitio Web al que intenta conectarse el gusano), aparece en
escena un archivo llamado "COUPLE4U.WRI.". La extensión
corresponde a documentos de la utilidad Write de Windows.
El documento incluye tres iconos con imágenes. El primero
contiene el código del gusano propiamente dicho. Los otros
dos son archivos gráficos legítimos.
Cuando la víctima abre el documento, y hace doble clic sobre
el primer icono, la copia embebida en su cuerpo, del propio
gusano (originalmente llamado "RESULT.EXE" de 412,192 Bytes)
es liberada (ver en Referencias: VBS/LastScene). Dicho
código, compilado en Delphi, al ejecutarse, crea cuatro
archivos con nombres seleccionados al azar, en la carpeta de
archivos temporales de Windows.
El primer archivo creado es un .JPG, de 18,544 Bytes, que es
desplegado al usuario para ocultar la actividad de creación
de los otros tres.
Dos de los archivos creados, son troyanos, Troj/OptixKill.A y
Troj/Sub7.21b.
El último archivo creado, es un script de Visual Basic Script
(.VBS), que contiene la rutina de propagación del gusano vía
e-mail.
Después de ser corrido por el gusano, este archivo hace use
de rutinas MAPI y del Outlook para capturar todas las
entradas de la libreta de direcciones del usuario infectado y
enviar los datos vía correo no solicitado a todas esas
direcciones. El gusano borra el mensaje enviado de la carpeta
de "Elementos enviados", para hacer más difícil la
investigación de su presencia en el sistema.
El mensaje enviado tiene estas características:
Asunto: Nice Couple
Texto del mensaje:
They want to meet you.
http://[xxxxx].yahoo.com/youngwifedawn
Adjuntos: (no contiene adjuntos)
Las [xxxxx] ocultan la verdadera dirección del sitio en la
red, para evitar la infección de nuevos usuarios (PD: el
sitio fue dado de baja hoy domingo 27/ene/02).
No existe ningún archivo adjunto en el mail. Por lo tanto, es
posible que el archivo .WRI original se descargue del sitio
Web mencionado en el mensaje.
Para limpiar manualmente un sistema infectado, debe proceder
a ejecutar uno o más antivirus al día.
Vea la referencia a los troyanos Troj/OptixKill.A, y
Troj/Sub7.21b, para la limpieza completa de un sistema
infectado.
Recomendamos instalar Script Defender, utilidad que nos
protege de la ejecución de archivos con extensiones .VBS,
.VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál,
la mayoría de los virus y gusanos escritos en Visual Basic
Script por ejemplo, ya no nos sorprenderán.
VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
Notas:
Si el sistema operativo instalado es Windows Me, para poder
eliminar correctamente este virus de su computadora, deberá
deshabilitar antes de cualquier acción, la herramienta
"Restaurar sistema" como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Referencias:
VSantivirus No. 550 - 9/ene/02
VBS/LastScene. Cuidado con un adjunto llamado SCENES.ZIP
http://www.vsantivirus.com/lastscene.htm
VSantivirus No. 569 - 28/ene/02
Troj/OptixKill.A. Desactiva todos los antivirus presentes
http://www.vsantivirus.com/troj-optixkill-a.htm
VSantivirus No. 569 - 28/ene/02
Troj/Sub7.21b. Control total y clandestino del PC
http://www.vsantivirus.com/troj-sub7-21b.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Troj/OptixKill.A. Desactiva todos los antivirus presentes
_____________________________________________________________
Nombre: Troj/OptixKill.A
Tipo: Caballo de Troya
Alias: TROJ_OPTIXKILL.A, OPTIXKILL.20, OPTIXKILL.A, OPTIXKILL
Fecha: 23/ene/02
Tamaño: 17,410 bytes (Comprimido con UPX)
La función de este troyano, es terminar con la mayoría de los
programas antivirus y cortafuegos, etc., que se estén
ejecutando y matar servicios relacionados con estos programas
presentes en memoria, dejando al usuario indefenso. No posee
ninguna otra rutina destructiva.
También agrega basura al registro de Windows.
Troj/OptixKill.A es liberado por el gusano VBS/Couple.A
(VBS/Lastscene.B).
Cuando se ejecuta, este troyano detiene la ejecución de la
mayoría de los programas antivirus y otras herramientas:
Esta es una lista de los ejecutables detenidos. Hasta el
momento, todos pertenecen legítimamente a productos antivirus
o herramientas de seguridad.
ZONEALARM.EXE
ZAPRO.EXE
vsmon
minilog
MINILOG.EXE
VSMON.EXE
BlackICE
BLACKD.EXE
BLACKICE.EXE
NISUM
NISSERV
NISUM.EXE
NISSERV.EXE
NMAIN.EXE
IAMAPP.EXE
IAMSERV.EXE
FRW.EXE
PERSFW.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
SPHINX.EXE
NPROTECT.EXE
NDD32.EXE
SMC.EXE
NETUTILS.EXE]
LDNETMON.EXE
PORTMONITOR.EXE
CONNECTIONMONITOR.EXE
DEFWATCH.EXE
RTVSCN95.EXE
VPC32.EXE
VPTRAY.EXE
POPROXY.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAV Alert
NAV Auto-Protect
NAVAPW32.EXE
ALERTSVC.EXE
NAVAPSVC.EXE
NAVLU32.EXE
NAVW32.EXE
SweepNet
SWEEPSRV.SYS
SWNETSUP.EXE
ICLOAD95.EXE
MON.EXE
SUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
IFACE.EXE
ANTS.EXE
ANTI-TROJAN.EXE
WRCTRL.EXE
WRADMIN.EXE
CLEANER3.EXE
CLEANER.EXE
TC.EXETCA.EXE
TCM.EXE
MOOLIVE.EXE
McShield
AvSynMgr
MCSHIELD.EXE
VSHWIN32.EXE
VSMAIN.EXE
SCAN32.EXE
SCRSCAN.EXE
ALOGSERV.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
AVXW.EXE
AVXMONITORNT.EXE
AVXMONITOR9X.EXE
AVXQUAR.EXE.EXE
AMON9X.EXE
AvgServ
AVGSERV.EXE
AVGW.EXE
AVGCC32.EXE
IOMON98.EXE
WEBTRAP.EXE
PCCWIN98.EXE
TDS-3.EXE
SS3EDIT.EXE
DOORS.EXE
JEDI.EXE
MONITOR.EXE
RAV7WIN.EXE
RAV7.EXE
SWEEP95.EXE
MCAGENT.EXE
MCUPDATE.EXE
CLAW95.EXE
CLAW95CF.EXE
NORMIST.EXE
NVC95.EXE
VET95.EXE
VETTRAY.EXE
AUTODOWN.EXE
RESCUE.EXE
AVKSERV.EXE
ACKWIN32.EXE
DVP95.EXE
DVP95_0.EXE
F-AGNT95.EXE
F-PROT95.EXE
EXPERT.EXE
FP-WIN.EXE
F-STOPW.EXE
VIR-HELP.EXE
F-PROT.EXE
SPYXX.EXE
ATWATCH.EXE
ATUPDATER.EXE
ATCON.EXE
PVIEW95.EXE
WGFE95.EXE
AVGCTRL.EXE
LDPROMENU.EXE
LDSCAN.EXE
GENERICS.EXE
PROCESSMONITOR.EXE
PROGRAMAUDITOR.EXE
AVSYNMGR.EXE
GUARD.EXE
TFAK.EXE
LUALL.EXE
LUCOMSERVER.EXE
TRJSCAN.EXE
REGRUN2.EXE
navapsvc
SymProxySvc.exe
WIMMUN32.EXE
ntrtscan.EXE
pccwin97.EXE
pccntmon.EXE
pcscan.EXE
Nui.EXE
AutoTrace.exe
NWService.exe
NTXconfig.exe
NeoWatchLog.exe
NSCHED32.EXE
WATCHDOG.EXE
ISRV95.EXE
REALMON.EXE
PCCIOMON.EXE
POP3TRAP.EXE
NETSTAT.EXE
REGEDIT.EXE
REGEDIT95.EXE
ZONEALARM.EXE
ZAPRO.EXE
vsmon
minilog
MINILOG.EXE
VSMON.EXE
BlackICEBLACKD.EXE
BLACKICE.EXE
NISUMNISSERVNISUM.EXE
NISSERV.EXE
NMAIN.EXE
IAMAPP.EXE
IAMSERV.EXE
FRW.EXE
PERSFW.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
SPHINX.EXE
NPROTECT.EXE
NDD32.EXE
SMC.EXE
NETUTILS.EXE
LDNETMON.EXE
PORTMONITOR.EXE
CONNECTIONMONITOR.EXE
DEFWATCH.EXE
RTVSCN95.EXE
VPC32.EXE
VPTRAY.EXE
POPROXY.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAV Alert
NAV Auto-Protect
NAVAPW32.EXE
ALERTSVC.EXE
NAVAPSVC.EXE
NAVLU32.EXE
NAVW32.EXE
SweepNet
SWEEPSRV.SYS
SWNETSUP.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
IFACE.EXE
ANTS.EXE
ANTI-TROJAN.EXE
WRCTRL.EXE
WRADMIN.EXE
CLEANER3.EXE
CLEANER.EXE
TC.EXETCA.EXE
TCM.EXE
MOOLIVE.EXE
McShield
AvSynMgr
MCSHIELD.EXE
VSHWIN32.EXE
VSMAIN.EXE
SCAN32.EXE
SCRSCAN.EXE
ALOGSERV.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
AVXW.EXE
AVXMONITORNT.EXE
AVXMONITOR9X.EXE
AVXQUAR.EXE.EXE
AMON9X.EXE
AvgServ
AVGSERV.EXE
AVGW.EXE
AVGCC32.EXE
IOMON98.EXE
WEBTRAP.EXE
PCCWIN98.EXE
TDS-3.EXE
SS3EDIT.EXE
DOORS.EXE
JEDI.EXE
MONITOR.EXE
RAV7WIN.EXE
RAV7.EXE
SWEEP95.EXE
MCAGENT.EXE
MCUPDATE.EXE
CLAW95.EXE
CLAW95CF.EXE
NORMIST.EXE
NVC95.EXE
VET95.EXE
VETTRAY.EXE
AUTODOWN.EXE
RESCUE.EXE
AVKSERV.EXE
ACKWIN32.EXE
DVP95.EXE
DVP95_0.EXE
F-AGNT95.EXE
F-PROT95.EXE
EXPERT.EXE
FP-WIN.EXE
F-STOPW.EXE
VIR-HELP.EXE
F-PROT.EXE
SPYXX.EXE
ATWATCH.EXE
ATUPDATER.EXE
ATCON.EXE
PVIEW95.EXE
WGFE95.EXE
AVGCTRL.EXE
LDPROMENU.EXE
LDSCAN.EXE
GENERICS.EXE
PROCESSMONITOR.EXE
PROGRAMAUDITOR.EXE
AVSYNMGR.EXE
GUARD.EXE
TFAK.EXE
LUALL.EXE
LUCOMSERVER.EXE
TRJSCAN.EXE
REGRUN2.EXE
navapsvc
SymProxySvc.exe
WIMMUN32.EXE
ntrtscan.EXE
pccwin97.EXE
pccntmon.EXE
pcscan.EXE
Nui.EXE
AutoTrace.exe
NWService.exe
NTXconfig.exe
NeoWatchLog.exe
NSCHED32.EXE
WATCHDOG.EXE
ISRV95.EXE
REALMON.EXE
PCCIOMON.EXE
POP3TRAP.EXE
NETSTAT.EXE
GEDIT.EXE
REGEDIT95.EXE
También se agrega información basura al registro, como esta
(para saltar un largo trecho):
HKEY_LOCAL_MACHINE\Enum\PCI\RZNSSS
Para limpiar un sistema infectado, ejecute uno o más
antivirus actualizados. Como el troyano ataca antivirus
instalados, se recomienda descargar desde nuestro sitio, y
ejecutar luego desde un par de disquetes, el antivirus F-
Prot, gratuito para uso personal:
VSantivirus No. 158 - 13/dic/2000
Cómo ejecutar F-PROT en un disquete
http://www.vsantivirus.com/fprot-disq.htm
Luego, usando REGEDIT (Inicio, ejecutar, escriba REGEDIT más
Enter), y pinche en el signo "+" hasta abrir la siguiente
rama:
HKEY_LOCAL_MACHINE
Enum
PCI
RZNSSS
Borre la carpeta "RZNSSS".
Use "Registro", "Salir" para salir del editor y confirmar los
cambios.
Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
El troyano se activa al ser ejecutado por el propio usuario,
en forma accidental, o al ser engañado éste en forma
premeditada para hacerlo.
Se recomienda no abrir archivos enviados sin su
consentimiento, ni ejecutar nada descargado de Internet o
cuya fuente sean disquetes, CDs, etc., sin revisarlo antes
con uno o dos antivirus al día.
Relacionados:
VSantivirus No. 569 - 28/ene/02
VBS/Couple.A (VBS/LastScene.B). Descarga dos troyanos
http://www.vsantivirus.com/couple-a.htm
VSantivirus No. 569 - 28/ene/02
Troj/Sub7.21b. Control total y clandestino del PC
http://www.vsantivirus.com/troj-sub7-21b.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Troj/Sub7.21b. Control total y clandestino del PC
_____________________________________________________________
Nombre: Troj/Sub7.21b
Tipo: Caballo de Troya de Acceso Remoto
Alias: TROJ_SUB7.21B
Fecha: 9/may/00
Plataforma: Windows
Tamaño: 381,347 Bytes
Este troyano es una herramienta clandestina utilizada para el
acceso remoto a computadoras personales, estaciones de
trabajo, etc.
Puede ser liberado por algunos virus como el VBS/Couple.A
(VBS/LastScene.B).
Cuando este troyano se ejecuta, se crean dos archivos en la
carpeta de Windows (C:\Windows por defecto):
C:\Windows\win32.exe
C:\Windows\windos.exe
El primero es una copia exacta del Sub7.21b, y el segundo una
variante del SubSeven.
El troyano también modifica el valor de dos entradas del
registro, que hacen que cualquier ejecutable esté asociado al
troyano, lo que complica su eliminación:
HKCR\exefile\shell\open\command
HKLM\Software\CLASSES\exefile\shell\open\command
* Para eliminar el troyano de un sistema infectado
Primero debe renombrar el archivo REGEDIT.EXE como
REGEDIT.COM, ya que la extensión .EXE está asociada al
troyano, y éste se volvería a cargar si ejecutamos REGEDIT en
forma normal.
1. Ejecute un antivirus actualizado y anote los archivos del
troyano detectados
2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar
cortar y pegar) y pulse Enter:
COMMAND /C RENAME C:\WINDOWS\REGEDIT.EXE REGEDIT.COM
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta
referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
4. En el panel izquierdo del editor de registro de Windows,
pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
exefile
shell
open
command
5. Pinche sobre la carpeta "command". En el panel de la
derecha debería ver algo como:
(Predeterminado) windows.exe "%1" %*
6. Pinche sobre "(Predeterminado)" y en Información del
valor, debe borrar el nombre del cargador (windows.exe) y
dejar solo esto:
"%1" %*
7. En el panel izquierdo del editor de registro de Windows,
pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
CLASSES
exefile
shell
open
command
8. Pinche sobre la carpeta "command". En el panel de la
derecha debería ver algo como:
(Predeterminado) windows.exe "%1" %*
9. Pinche sobre "(Predeterminado)" y en Información del
valor, debe borrar el nombre del cargador (windows.exe) y
dejar solo esto:
"%1" %*
10. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
Ejecute un antivirus actualizado, y borre todas las
apariciones de archivos relacionados con Troj/Sub7.21b y/o
Troj/Subseven, para estar seguro no ocurrirá una re-
infección.
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de algún troyano con Internet, así como cualquier
intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Relacionados:
VSantivirus No. 569 - 28/ene/02
VBS/Couple.A (VBS/LastScene.B). Descarga dos troyanos
http://www.vsantivirus.com/couple-a.htm
VSantivirus No. 569 - 28/ene/02
Troj/OptixKill.A. Desactiva todos los antivirus presentes
http://www.vsantivirus.com/troj-optixkill-a.htm
VSantivirus No. 98 - 3/dic/99
Trojan: SubSeven 2.1
http://www.vsantivirus.com/sub721.htm
VSantivirus No. 148 - 3/dic/00
Trojan: BackDoor-G2 (SubSeven, TSB, Serbian Badman, etc.)
http://www.vsantivirus.com/bg2.htm
VSantivirus No. 246 - 11/mar/01
Trojan: SubSeven.2.2. Ultima versión del peligroso troyano
http://www.vsantivirus.com/sub722.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
| 