VSantivirus No. 626 - Año 6 - Lunes 25 de marzo de 2002

VSantivirus No. 626 - Año 6 - Lunes 25 de marzo de 2002

VSantivirus No. 626 - Año 6 - Lunes 25 de marzo de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - El virus que destruyó nuestra credibilidad
2 - Troj/Backdoor.FTP.Bmail. Falsa aplicación es un troyano
3 - W32/Yever. Gusano de Internet en archivo llamado NB32.EXE
_____________________________________________________________

1 - El virus que destruyó nuestra credibilidad
_____________________________________________________________

http://www.vsantivirus.com/klez-credibilidad.htm

El virus que destruyó nuestra credibilidad

Por Jose Luis Lopez
videosoft@videosoft.net.uy

* ¿La conspiración del silencio?

Me extraña (o tal vez no), lo poco que he visto escrito,
tanto en las notas de prensa, como en las descripciones de
los propios fabricantes de antivirus, sobre una de las
características del Klez-E, que con cierta triste y poco
meditada ironía podríamos mencionar como "deliciosamente
maligna".

Me extraña el silencio, porque es algo difícil de ocultar,
siendo además una de las trampas más simples, y al mismo
tiempo más pérfidamente destructiva que nunca antes, que yo
recuerde, se haya visto. Y cuando hablo de destrucción, no me
refiero solo a los archivos de nuestras computadoras (que
también lo hace), sino a la destrucción de dos valores que me
parecen muy importantes en la lucha contra el flagelo de los
virus.

Primero, destruye la reputación de quienes nos dedicamos a
mantener alertas a cientos de internautas en su viaje por las
peligrosas autopistas de la información. Quienes nos
empeñamos en abrir las mentes de usuarios inquietos y
desaprensivos (sobre todo noveles), dándole elementos de
juicio que le hagan valorar el peligro de descargar cualquier
archivo, o hacer doble clic sobre cualquier adjunto recibido,
ahora podemos ver como nuestra credibilidad puede irse al
tacho de la basura.

Y segundo, y tal vez el punto más importante si logramos
sacudirnos los restos de nuestro ego mortalmente herido por
lo dicho en el párrafo anterior, es que se le ha dado una
reverenda patada en los “cojones” a la credibilidad y a la
confianza de muchos involucrados seriamente en la divulgación
e investigación antiviral.

* La sutil pero destructiva venganza de un virus

¿Y de que estoy hablando?. Pues, de una de las
características del Klez-E, que hace que muchos de sus
mensajes infectados, sean enviados por un usuario falso. Pero
un usuario falso que puede ser cualquiera cuya dirección de
correo haya sido capturada por el virus en alguna máquina
infectada. De ese modo, usted podría recibir (si es que ya no
le ha ocurrido), un mensaje de mi propia persona infectado,
¡que yo no le he enviado!.

¿Se imagina alertas de virus de empresas como McAfee,
Kaspersky, Panda, etc., infectadas por el Klez?. La mala
noticia es que ya las hay. Nosotros hemos recibido al menos
tres de estos mensajes "enviados" por alguna de estas
compañías. ¡E incluso hemos recibido mensajes de nosotros
mismos infectados por el Klez!...

Conociendo algunas peculiaridades de la mayoría de los
internautas, demostrada en la divulgación de falsos virus
como el SULFNBK (ver en el área "Hoaxes" de nuestra página),
o de tantos bulos similares, me extraña que no se hayan
propagado historias sobre este tema. Pero de seguro lo
habrán.

Por ello me resulta aún más extraño que no se haya publicado
más información sobre esta forma de actuar del Klez-E, y que
pocas (sino es que ninguna) de las descripciones de los
principales fabricantes de antivirus, haya documentado
debidamente este punto.

* Nuestras únicas armas

Por lo pronto, solo nos queda un arma para luchar contra esta
plaga (la cantidad de incidencias del virus ha aumentado en
nuestros sistemas de monitoreo, casi un 100% en las últimas
semanas, comparado con igual periodo del mes anterior).

Esa arma es la información. Mantener informado con la verdad
a los usuarios, es la única herramienta para hacerlos menos
vulnerables. Nos gustaría que los fabricantes de antivirus
fueran conscientes de esto.

Mientras tanto, lo importante es que recuerde que cualquier
conocido puede "enviarle" un mensaje infectado con el Klez.E,
incluidos nosotros, sin que realmente el mensaje haya salido
de nuestras computadoras, ni que estemos infectados.

Incluso usted mismo puede recibir las quejas de alguien,
diciéndole que usted está enviándole mensajes infectados,
cuando ello no es así (de cualquier modo, siempre asegúrese
de no estar realmente infectado, haciendo un examen periódico
de su sistema con uno o más antivirus actualizados).

Pero para estar realmente protegidos, solo nos queda
desconfiar más que nunca, de todo mensaje recién recibido,
sin importar de quien venga, además de tener los parches
correspondientes de nuestro Internet Explorer y Outlook
Express.

* Cómo protegernos

La única protección efectiva para este gusano, es actualizar
el Internet Explorer con el parche al que Microsoft se
refiere en su boletín MS01-020 (o MS01-027) (ver Referencias
al pie de este artículo).

El gusano llega en un mensaje con formato, generalmente con
un tamaño de 100 y pocos Kb, con texto y asunto seleccionados
al azar, y un adjunto (no visible con el clásico clip),
también variable. El remitente puede ser un usuario
infectado, o puede figurar cualquier dirección conocida,
usurpada por el virus, sin que el remitente esté infectado.

Valiéndose de una vulnerabilidad en las extensiones MIME, el
Internet Explorer (quien ejecuta por defecto todos los
mensajes con formatos HTML del Outlook, aunque esto pase
desapercibido, debido a que no se abre una pantalla del IE),
abre y ejecuta el archivo binario adjunto al correo, pensando
se trata de uno de música por ejemplo. MIME (Multipurpose
Internet Mail Extension) es un sistema que permite integrar
dentro de un mensaje de correo electrónico archivos de
imágenes, sonido, programas ejecutables, etc., específicos
para determinadas aplicaciones o archivos multimedia. El
error consiste en hacer pensar al IE que se trata de un
sonido o una imagen y abrirlo sin comprobar. En ese caso, el
archivo con el gusano (un EXE), se ejecuta sin advertencia
alguna.

Son vulnerables usuarios con Internet Explorer 5.0x y 5.5 sin
los parches mencionados.

También puede afectar a usuarios con otros navegadores,
aunque en ese caso al abrir el adjunto con un doble clic.

El gusano opera independientemente del cliente del correo,
usando sus propias rutinas de SMTP para extenderse, de modo
que también son afectados los usuarios que no usen Outlook u
Outlook Express (aunque se requiere abrir el adjunto).

* Herramienta para limpiar el Klez.E

CLARV es una utilidad creada por Kaspersky Labs para eliminar
la infección del Klez (y otros virus, como se explica en el
enlace a nuestro sitio).

Siga estos pasos para utilizar CLRAV (*):

1. Descargue CLRAV.COM (66 Kb) de nuestro sitio al escritorio
de Windows (por ejemplo):

http://www.vsantivirus.com/util-clrav.htm

2. Haga doble clic sobre el archivo descargado (CLRAV) y siga
las instrucciones.

3. Ejecute uno o dos antivirus actualizados

4. Reinicie su PC

5. Vuelva a ejecutar un antivirus actualizado escaneando
todos sus discos

Nota: Si su PC está conectado a una red, desconecte cada PC
de la red, y repita este proceso EN CADA PC.

(*) CLRAV es Copyright (C) Kaspersky Lab 2000-2002. All
rights reserved.

Referencias:

VSantivirus No. 476 - 27/oct/01
Klez, otro virus que infecta sin abrir adjuntos
http://www.vsantivirus.com/klez.htm

VSantivirus No. 476 - 27/oct/01
W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

VSantivirus No. 476 - 27/oct/01
A fondo: W32/Klez, como el Nimda, nos infecta al verlo
http://www.vsantivirus.com/klez-a.htm

VSantivirus No. 483 - 3/nov/01
W32/Klez.C. Se ejecuta sin abrir ningún adjunto
http://www.vsantivirus.com/klez-c.htm

VSantivirus No. 484 - 4/nov/01
W32/Klez.B. Variante menor del Klez.A
http://www.vsantivirus.com/klez-b.htm

VSantivirus No. 490 - 10/nov/01
W32/Klez.D. Continúa la saga de los "Klez"
http://www.vsantivirus.com/klez-d.htm

VSantivirus No. 559 - 18/ene/02
W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión
http://www.vsantivirus.com/klez-e.htm

VSantivirus No. 476 - 27/oct/01
W98/Elkern.A. Destructivo virus liberado por el W32/Klez
http://www.vsantivirus.com/elkern-a.htm

VSantivirus No. 559 - 18/ene/02
W32/Elkern.B. Peligroso virus que acompaña al Klez
http://www.vsantivirus.com/elkern-b.htm

VSantivirus No. 266 - 31/mar/01
Grave vulnerabilidad en extensiones MIME en IE
http://www.vsantivirus.com/vulms01-020.htm

VSantivirus No. 324 - 28/may/01
Nuevas vulnerabilidades en IE (MS01-027)
http://www.vsantivirus.com/vulms01-027.htm

VSantivirus No. 548 - 7/ene/02
Guía de supervivencia: Consejos para una computación segura
http://www.vsantivirus.com/guia-de-supervivencia.htm

VSantivirus No. 607 - 6/mar/02
¡Peligro de virus!. Hoy el Klez.E puede borrar sus archivos
http://www.vsantivirus.com/06-03-02.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Troj/Backdoor.FTP.Bmail. Falsa aplicación es un troyano
_____________________________________________________________

http://www.vsantivirus.com/back-ftp-bmail.htm

Nombre: Troj/Backdoor.FTP.Bmail
Tipo: Caballo de Troya de Acceso Remoto
Alias: BackDoor-ABH, Backdoor.FTP.Bmail, BackDoor.Trojan
Fecha: 1/mar/02
Tamaño: 49,152 bytes

Este troyano figura en algunos sitios como una aplicación
cliente de correo electrónico. Si es ejecutado en la máquina
de la víctima, el troyano intentará conectarse a un servidor
FTP.

El troyano contiene este texto en su código:

Would you like to download Bmail.. Bmail is a talking
Email software that works with POP and other email
accounts. Its works with Yahoo also. More will be added
soon..

Allí menciona que el programa (llamado Bmail) "es un software
de correo electrónico con opciones de conversación, que
trabaja con POP y otras cuentas de correo", y que trabaja
también con Yahoo!.

Sin embargo, es un vulgar troyano que además de abrir la
mencionada conexión FTP, abre un puerto adicional, el 5135,
en la computadora de su víctima, habilitando el acceso remoto
a dicha máquina.

El troyano cambia además la siguiente rama del registro para
autoejecutarse en próximos reinicios del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SetFTPBack = C:\WINDOWS\SYSTEM\createsw.exe

Sin embargo, en las pruebas realizadas, el troyano no crea
ningún archivo CREATESW.EXE en la ubicación mencionada en el
registro.

El troyano se activa al ser ejecutado por el propio usuario,
en forma accidental, o al ser engañado éste en forma
premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su
consentimiento, ni ejecutar nada descargado de Internet o
cuya fuente sean disquetes, CDs, etc., sin revisarlo antes
con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o
cortafuego) como el ZoneAlarm, gratuito para uso personal,
que detendrá y advertirá la conexión del troyano con
Internet.

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm

IMPORTANTE:

Si el troyano ha sido instalado en el sistema, es posible que
su computadora pueda ser accedida en forma remota por un
intruso sin su autorización. Esto es más crítico en caso de
tenerla conectada a una red. Por esta razón es imposible
garantizar la integridad del sistema luego de la infección.
El usuario remoto puede haber realizado cambios a su sistema,
incluyendo las siguientes acciones (entre otras posibles):

- Robo o cambio de contraseñas o archivos de contraseñas.

- Instalación de cualquier software que habilite conexiones
remotas, a partir de puertas traseras.

- Instalación de programas que capturen todo lo tecleado por
la víctima.

- Modificación de las reglas de los cortafuegos instalados.

- Robo de números de las tarjetas de crédito, información
bancaria, datos personales.

- Borrado o modificación de archivos.

- Envío de material inapropiado o incriminatorio desde la
cuenta de correo de la víctima.

- Modificación de los derechos de acceso a las cuentas de
usuario o a los archivos.

- Borrado de información que pueda delatar las actividades
del atacante (logs, etc.).

Estas acciones solo se indican como ejemplo, pero de ningún
modo deben tomarse como las únicas posibles.

Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.

Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.

En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.

Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.

De cualquier modo, y sin olvidar las mencionadas previsiones,
se puede sugerir el siguiente plan de acción para un intento
de sacar el troyano en forma manual.

* Limpieza en forma manual de un sistema infectado

Primero que nada, asegúrese de actualizar sus antivirus con
las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos
sus discos duros.

3. Borre los archivos detectados como infectados por este
troyano.

4. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

SetFTPBack "C:\WINDOWS\SYSTEM\createsw.exe"

7. Use "Registro", "Salir" para salir del editor y
confirmar los cambios.

8. Reinicie su PC en modo normal y vuelva a realizar un
escaneo con sus antivirus.

* Notas

a. Cuando decimos usar más de un antivirus debemos tener en
cuenta dos cosas. Una, que JAMAS debemos tener más de uno
monitoreando en segundo plano. Solo usamos más de uno para
una revisación (escaneo) normal por demanda (uno a la vez). Y
segundo, que debemos desactivar momentáneamente todo proceso
de monitoreo en segundo plano cada vez que procedemos a
escanear un equipo. En todos los casos, si su PC está
conectado a una red, desconéctelo físicamente de la misma
hasta haber realizado el proceso de escaneo en todas las
máquinas.

b. Si el sistema operativo instalado es Windows Me o Windows
XP, para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - W32/Yever. Gusano de Internet en archivo llamado NB32.EXE
_____________________________________________________________

http://www.vsantivirus.com/yever.htm

Nombre: W32/Yever
Tipo: Gusano de Internet
Alias: Worm/Yever
Fecha: 18/mar/02
Tamaño: 21 Kb aprox.

Yever es un gusano que se puede propagar a través del correo
electrónico, utilizando las direcciones recolectadas de las
libretas de las máquinas infectadas (Windows Address Book,
.WAB).

Si el gusano es ejecutado por el usuario, el mismo se copia
en la carpeta System de Windows con el nombre de NB32.EXE:

C:\Windows\System\nb32.exe

O en Windows NT/2000:

C:\Winnt\System32\nb32.exe

También es modificado el registro para permitir la
autoejecución del gusano en próximos reinicios del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
nb32 = C:\Windows\System\nb32.EXE

El gusano contiene en su código el siguiente texto:

[Yellow Fever BioCoded by GriYo /29A]

* Reparación manual

Para reparar manualmente la infección provocada por este
virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos
sus discos duros

3. Borre los archivos detectados como infectados por el
gusano

4. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

8. Pinche en la carpeta "RunServices" y en el panel de la
derecha busque y borre la siguiente entrada:

nb32 "C:\Windows\System\nb32.EXE"

9. Use "Registro", "Salir" para salir del editor y
confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________