VSantivirus No. 620 - Año 6 - Martes 19 de marzo de 2002

VSantivirus No. 620 - Año 6 - Martes 19 de marzo de 2002

VSantivirus No. 620 - Año 6 - Martes 19 de marzo de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Las cookies: no es tan fiero el león...
2 - Troj/Juntador.A. Transporta OBLIVION.B2 y TROJ_SUB7.22
3 - Troj/Juntador.B. Copia 2 troyanos, PSYCHWARD y OBLIVION
_____________________________________________________________

1 - Las cookies: no es tan fiero el león...
_____________________________________________________________

http://www.vsantivirus.com/art-cookies.htm

Las cookies: no es tan fiero el león...
Por Fernando de la Cuadra (*)
Fdelacuadra@pandasoftware.com

Las cookies son unas grandes desconocidas en Internet. Muchos
usuarios las temen, y no sin cierto motivo: alrededor de
ellas han surgido numerosos bulos y demasiados engaños como
para que salgan indemnes de una conversación entre
aficionados a la informática.

Las cookies nacieron casi al principio de la navegación por
Internet. Muchos sites descubrieron que los usuarios estaban
una y otra vez introduciendo la misma información en
formularios, lo que podría evitarse si esos datos quedaran
almacenados en el ordenador desde el que se accede.

De esta manera podremos visitar muchos sites de una manera
muy fácil: no deberemos volver a escribir nuestras
preferencias, ni nuestro nombre de usuario, ni la ciudad en
la que vivimos. Toda esa información está almacenada en la
cookie que nos ha mandado el servidor al que nos hemos
conectado. La utilidad de las cookies es grande, ya que nos
permiten hacer uso de determinadas páginas de una manera muy
rápida.

Sin embargo, mucha gente teme que en la cookie venga
almacenado un virus o sirva para que nos roben información.
Eso es completamente erróneo, ya que una cookie nunca podrá
almacenar código ejecutable, que es lo que necesita un virus
para poder llevar a cabo sus acciones. E incluso en el remoto
caso de que un virus tratara de ocultarse en una cookie,
nunca habría ningún proceso que pudiera ponerlo en
funcionamiento, ya que, al no estar pensadas para eso, a
ningún programador se le pasaría por la cabeza intentar
lanzar la ejecución del código de la cookie.

Por otro lado, la información que almacena una cookie, aunque
pueda ser robada, no va a ser demasiado útil para el que lo
haga. Generalmente, aunque se almacene información
“delicada”, ésta no es útil fuera del ordenador en el que ha
sido descargada. Únicamente podría dar información a un
extraño acerca de los sitios en los que hemos estado. Y
aparte de que alguien descubra que soy seguidor de un
determinado equipo de fútbol, que me gusta el cine de terror,
que compro discos de música barroca o que utilizo un
determinado chat, no existe mayor peligro, a no ser que
entremos en páginas web de las que no queremos que queden
referencias, como las que puedan informar sobre nuestras
preferencias políticas, sexuales, religiosas, etc.

Exactamente, cada cookie representa una pequeña porción de
información con una fecha de caducidad que se añade al
fichero o directorio de cookies. La fecha de caducidad es un
parámetro opcional que indica el tiempo que se conservará la
cookie. Si no se especifica el valor de caducidad, la cookie
caduca cuando el usuario sale de la sesión en curso con el
navegador. Por consiguiente, el navegador conservará y
recuperará la cookie sólo si su fecha de caducidad aún no ha
llegado.

No obstante, si abrimos una cookie con el Bloc de Notas de
Windows, por ejemplo, veremos que aparecen muchos más datos,
algunos bastante crípticos. Bien, vamos a analizarlos uno por
uno.

- Un dominio - Se trata de un nombre de dominio parcial o
completo para el cual será válida la cookie. El navegador la
devolverá a todo servidor que encaje con ese nombre de
dominio. Así se evita que un dominio distinto del que la
generó pueda hacer uso de ella. Los nombres de dominio deben
incluir al menos dos puntos para evitar intentos fraudulentos
de encajar dominios de alto nivel como “.PT”. Si no se
especifica ninguno, el navegador sólo devolverá la cookie a
la máquina que la originó.

- Una ruta de directorio - Cuando se suministra el atributo
de camino para la cookie, el navegador lo contrasta con la
dirección que la solicita, y solamente se devolverá si los
dos caminos son iguales.

- Secure - Este atributo indica que la cookie sólo será
transmitida a través de un canal seguro con SSL.

El problema del robo de cookies es bastante improbable, y
hasta ahora sólo se ha encontrado alguna posibilidad de
llevarlo a cabo en los navegadores Mozilla con versiones
anteriores a la 0.9.7, en Netscape anteriores a la 6.2.1 y en
MS Internet Explorer 5.5 y 6.0. Debido a ese error, un
atacante podría sustraer las cookies de un usuario para un
determinado dominio, siempre que lograse convencerle para que
cargue en su navegador una URL concreta. Como puede verse, el
error puede ser muy grave... pero muy fácilmente subsanable
actualizando el navegador que estemos empleando.

* Las cookies y nuestro PC

Antes de nada, debemos insistir en la filosofía de que es
mejor prevenir que curar: si no queremos tener cookies en
nuestro ordenador (aunque no ocurra nada por tenerlas),
debemos evitar que nos entren. Cualquier navegador dispone de
una serie de opciones de seguridad con las que podemos evitar
que las cookies entren.

El problema es que en algunas ocasiones nos puede interesar
recibir las cookies que nos mandan los servidores web, por lo
que tampoco sería conveniente cerrar completamente el acceso
de las cookies a nuestro PC.

La mejor opción es obligar al navegador a decirle que nos
pregunte, cada vez que recibamos una cookie, si queremos
almacenarla en nuestro ordenador o no. En realidad, solamente
deberíamos aceptar cookies de servidores en los que confiemos
o de aquellos de los que no nos preocupe dejar pistas de
nuestra presencia.

Una vez que hemos evitado que las cookies entren deberemos
limpiar las que ya tengamos. Generalmente, todas estarán
almacenadas en el mismo directorio, por lo que simplemente
bastará con borrarlas. Cuidado, porque borraremos todas: las
que nos interesen y las que no. Lo más indicado, como medida
inicial, sería borrarlas todas y “empezar desde cero” con las
cookies.

(*) Fernando de la Cuadra
Editor Técnico Internacional
Panda Software (http://www.pandasoftware.com)
E-mail: Fdelacuadra@pandasoftware.com

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Troj/Juntador.A. Transporta OBLIVION.B2 y TROJ_SUB7.22
_____________________________________________________________

http://www.vsantivirus.com/juntador-a.htm

Nombre: Troj/Juntador.A
Tipo: Caballo de Troya
Alias: TROJ_JUNTADOR.A, Trojan.Dropper.Win32.Juntador.B,
Troj/Juntador, Backdoor Trojan, JUNTADOR.A, JUNTADOR
Tamaño: 86,016 bytes
Fecha: 4/ene/02
Plataforma: Windows
Fuente: Trend Micro

Este caballo de Troya intenta ser el transporte de otros dos
troyanos: TROJ_OBLIVION.B2 y TROJ_SUB7.22.A. Una vez
ejecutado no queda residente en memoria. Tampoco incluye
rutina maliciosa alguna. El archivo está compilado en Delphi.

El troyano se activa al ser ejecutado por el propio usuario,
en forma accidental, o al ser engañado éste en forma
premeditada para hacerlo.

Al ejecutarse, el troyano libera los siguientes archivos:

Ie666.vbs (virus detectado como VBS/Stanchild.A)
Ebay.Exe (detectado como Troj/Sub7.22.A)
Explorer.exe (detectado como Troj/Sub7.22.A)
pusdm.exe (detectado como Troj/Sub7.22.A)
intelmouse.exe (detectado como TROJ/Oblivion.B2)
logictech.exe (detectado como TROJ/Oblivion.B2)
brgket.exe (detectado como Troj/Sub7.22.A)

Más detalles del SubSeven en este enlace:

VSantivirus No. 246 - 11/mar/01
Trojan: SubSeven.2.2. Ultima versión del peligroso troyano
http://www.vsantivirus.com/sub722.htm

Los archivos descargados muestran el icono del popular sitio
eBay.com, mientras que el propio Juntador.A muestra el icono
de un mensaje del Outlook.

* Reparación manual

Para reparar manualmente la infección provocada por este
virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros

3. Con REGEDIT (Inicio, Ejecutar, REGEDIT + Enter), en el
panel de la izquierda abra la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
Current Version
explorer
User Shell Folders

4. En el panel de la derecha, borre la entrada que haga
referencia a lo siguiente:

"C:\WINDOWS\SYSTEM\op\"

5. En el panel de la izquierda, busque esta rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
Current Version
Run

6. En el panel de la derecha, borre las entradas que hagan
referencia a lo siguiente:

"C:\WINDOWS\SYSTEM\Logictech.exe"
"C:\WINDOWS\SYSTEM\pusdm.exe"

7. En el panel de la izquierda, busque esta rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
Current Version
RunServices

8. En el panel de la derecha, borre las entradas que hagan
referencia a lo siguiente:

"C:\WINDOWS\SYSTEM\Logictech.exe"
"C:\WINDOWS\SYSTEM\pusdm.exe"

9. En el panel de la izquierda, busque esta rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Active Setup
Installed Components
DefaultProfile

10. En el panel de la derecha, borre las entradas que hagan
referencia a lo siguiente:

"C:\WINDOWS\SYSTEM\Logictech.exe ASC"

11. En el panel de la izquierda, busque esta rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Active Setup
Installed Components

12. En el panel de la derecha, borre las entradas que hagan
referencia a lo siguiente:

"C:\WINDOWS\SYSTEM\brgket.exe"

13. En el panel de la izquierda, busque esta rama:

HKEY_USERS
.DEFAULT
Software
Microsoft

14. A la derecha, buscar y borrar la siguiente entrada:

Satanik*Child
"---====::SATANIK CHILD::====----"

15. En el panel de la izquierda, busque esta rama:

HKEY_USERS
.DEFAULT
Software
Microsoft
Windows
CurrentVersion
Run

16. A la derecha, buscar y borrar las siguientes entradas:

"C:\WINDOWS\system\Ebay.exe"
"C:\WINDOWS\IntelMouse.exe"

17. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter,
y busque las siguientes entradas:

[boot]
Shell=explorer.exe Logictech.exe

18. Cambie esta entrada por esto:

[boot]
Shell=explorer.exe

19. Grabe los cambios y salga del bloc de notas.

20. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter, y
busque las siguientes entradas:

[windows]
load=Logictech.exe
run=Logictech.exe

21. Cambie esas entradas por esto:

[windows]
Load=
Run=

22. Grabe los cambios y salga del bloc de notas.

23. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

Se recomienda no abrir archivos enviados sin su
consentimiento, ni ejecutar nada descargado de Internet o
cuya fuente sean disquetes, CDs, etc., sin revisarlo antes
con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o
cortafuego) como el ZoneAlarm, gratuito para uso personal,
que detendrá y advertirá la conexión del troyano con
Internet.

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - Troj/Juntador.B. Copia 2 troyanos, PSYCHWARD y OBLIVION
_____________________________________________________________

http://www.vsantivirus.com/juntador-b.htm

Nombre: Troj/Juntador.B
Tipo: Caballo de Troya
Alias: TR/Juntador.B.Drop, TrojanDropper.Win32.Juntador.B,
TROJ_JUNTADOR.B, JUNTADOR.B
Tamaño: 33,792 bytes
Fecha: 19/mar/02
Plataforma: Windows
Fuente: Trend Micro

Este troyano ha sido compilado en Delphi, y posee la
capacidad de enviar mensajes a través del ICQ. Libera los
archivos de otros dos troyanos, detectados como PSYCHWARD.F y
OBLIVION.B1, en los directorios Windows y System.

Primero, copia estos archivos (que corresponden a los
troyanos mencionados) en las siguientes ubicaciones:

C:\Windows\winvxd.exe
C:\Windows\IntelMouse.exe

C:\Windows\System\edit.exe
C:\Windows\System\Logictech.exe

Los archivos winvxd.exe y edit.exe, son el troyano
PSYCHWARD.F. Los archivos IntelMouse.exe y Logictech.exe son
el troyano OBLIVION.B1

El troyano también modifica los archivos SYSTEM.INI y WIN.INI
para poder autoejecutarse en cada reinicio de Windows:

SYSTEM.INI
[boot]
Shell=explorer.exe Logictech.exe

WIN.INI
[windows]
Load=Logictech.exe
Run=Logictech.exe

El troyano envía información al autor o quien haya sido
responsable de su primer envío, enviándole mensajes a través
del ICQ.

Troj/Juntador.B se activa al ser ejecutado por el propio
usuario, por lo tanto se recomienda no abrir archivos
enviados sin su consentimiento, ni ejecutar nada descargado
de Internet, o copiado de disquetes, CDs, etc., sin revisarlo
antes con uno o dos antivirus al día.

* Reparación manual

Para reparar manualmente la infección provocada por este
virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos
sus discos duros

3. Borre los archivos detectados como infectados por
Troj/Juntador.B, PSYCHWARD.F y OBLIVION.B1

4. Con el Explorador de Windows, borre los siguientes
archivos (si aparecen):

C:\Windows\winvxd.exe
C:\Windows\IntelMouse.exe
C:\Windows\System\edit.exe
C:\Windows\System\Logictech.exe

5. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter,
y busque las siguientes entradas:

[boot]
Shell=explorer.exe Logictech.exe

Cambie esta entrada por esto:

[boot]
Shell=explorer.exe

6. Grabe los cambios y salga del bloc de notas.

7. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter, y
busque las siguientes entradas:

[windows]
Load=Logictech.exe
Run=Logictech.exe

Cambie esta entrada por esto:

[windows]
Load=
Run=

8. Grabe los cambios y salga del bloc de notas.

9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Limpieza de virus en Windows Me y XP

* Notas

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________