VSantivirus No. 725 - Año 6 - Martes 2 de julio de 2002

VSantivirus No. 725 - Año 6 - Martes 2 de julio de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Falla en DNS pone en riesgo todos los sistemas conectados
2 - W32/Doal.A. Un generador de claves para XP borra archivos
3 - W32/ZVM. Asunto: Nuevo programa para bajar musica gratis
_____________________________________________________________

1 - Falla en DNS pone en riesgo todos los sistemas conectados
_____________________________________________________________

http://www.vsantivirus.com/02-07-02.htm

Falla en DNS pone en riesgo todos los sistemas conectados

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Una falla en el software que soporta el servicio DNS (Domain
Name System) puede poner a todos los sistemas conectados a
Internet en un grave riesgo, expresaron algunos expertos de
los Países Bajos, esta semana.

El DNS es el servicio que traduce los nombres de dominio
(tipo www.vsantivirus.com) a las verdaderas direcciones IP
(Internet Protocol) que entienden las computadoras (una serie
de dígitos en el formato xxx.xxx.xxx.xxx).

Las librerías vulnerables no son usadas solamente por los
servidores DNS, sino también por routers y switches, el
hardware que literalmente encamina el tráfico de la red. Esto
fue explicado el lunes por Joost Pol, un consultor de
seguridad de Pine Internet en La Haya, este lunes.

"El código fue escrito hace mucho tiempo, y es distribuido
libremente, siendo parte esencial del software que se ejecuta
tanto en el cliente como en el servidor", explica Pol.

Son afectadas las versiones BIND (Berkeley Internet Name
Domain) desarrolladas por el Internet Software Consortium, y
BSD de Berkeley Software Distribution, según afirma la alerta
liberada el viernes por el CERT/CC (Computer Emergency
Response Team Coordination Center).

La falla es producida por un desbordamiento de búfer, lo que
permite que un atacante remoto pueda tomar el control de los
sistemas vulnerables, utilizando el software afectado para
enviar respuestas DNS erróneas o modificadas, según explica
el CERT.

Después de un ataque exitoso a un ruteador por ejemplo, un
atacante podría utilizarlo en su provecho o desviar el
tráfico causando graves trastornos en el funcionamiento de
Internet, por ejemplo.

Es vital actualizar a la brevedad el software, si se está
usando alguna de las versiones vulnerables, explica Pol.

Los elementos afectados incluyen sistemas operativos del
servidor, servidores DNS, servidores de correo electrónico,
además de switches y routers.

Desgraciadamente, no es solo cuestión de aplicar el parche.
Solo aquél software que haga un enlace dinámico a esta
librería cada vez que necesite resolver un nombre de dominio,
quedaría seguro si se instala una librería actualizada. Todas
aquellas aplicaciones que tengan la librería incorporada a su
código, debería ser recompilada.

Quienes utilizan el software de Microsoft, están a salvo
porque Windows no hace uso de dicha librería, según la
empresa. Pol tiene sus dudas al respecto, ya que afirma que
una gran cantidad de código de BSD es usado en Windows 2000.

No existe aún ningún exploit conocido que pueda aprovecharse
de esta falla, pero eso podría cambiar en las próximas horas.

* Referencias:

Vulnerability Note VU#803539
http://www.kb.cert.org/vuls/id/803539

* Relacionados

Sobre las vulnerabilidades BIND
http://www.vsantivirus.com/faq-bind.htm

Inminentes ataques masivos en Internet, cómo evitarlos
http://www.vsantivirus.com/jm-ataques.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - W32/Doal.A. Un generador de claves para XP borra archivos
_____________________________________________________________

http://www.vsantivirus.com/doal.htm

Nombre: W32/Doal.A
Tipo: Caballo de Troya
Alias: W32.Doal.Trojan, TROJ_DOAL.A
Fecha: 1/jul/02
Tamaño: 580,923 bytes (Load.exe 312,606 bytes)
Plataformas: Windows 32-bits
Fuentes: Trend, Symantec

Este Troyano se asemeja al Troj/Whistler.A
(W32.Whiter.Trojan), en el hecho de que simula ser un
generador de claves para Windows XP. Sin embargo, lo único
que hará, será borrar todos los archivos del disco duro en
que se ejecute.

La forma más común para propagarse de este troyano, es a
través de programas que permiten compartir archivos entre
usuarios, tales como KaZaa o Morpheus.

Aunque el nombre con el que podría presentarse en las listas
de estos programas, suele ser "Windows XP Home Edition
Keygen.exe", esto puede ser fácilmente modificado.

El troyano está programado en Visual C++ y su icono
representa la bandera de Windows (el icono de Mi PC en
Windows XP). El instalador está creado con la utilidad
'Vise'.

[ Ver: http://www.vsantivirus.com/doal.gif ]

El troyano libera el archivo 'load.exe', el cuál será
ejecutado cada vez que Windows se reinicie.

Cuando se ejecuta muestra un mensaje relacionado con la falta
de espacio en el disco (not have enough disk space), y
pregunta si el usuario desea continuar. Si éste contesta
afirmativamente, se borran archivos claves de la unidad C:

El gusano crea primero un directorio llamado 'Windows XP Home
Keys' en la carpeta de Archivos de programa (Program Files).
En ese directorio genera un archivo de texto de 499 bytes
llamado 'Windows XP Home Edition Serials.diz' que contiene
números seriales para la versión Home Edition de Windows XP.
También crea un acceso directo de dicho archivo en el
escritorio.

Luego coloca una copia de si mismo en la siguiente ubicación:

C:\Archivos de programa\Common Files\Software\Load.exe

Este archivo muestra el icono que vimos antes.

Para autoejecutarse en próximos reinicios, el troyano genera
la siguiente entrada en el registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Tasks = C:\Archivos de programa\Common Files\Software\Load.exe

En cada reinicio, el troyano mostrará el mensaje de falta de
espacio en el disco, y si la opción seleccionada es SI,
entonces se borrarán todos los archivos que luego sean
accedidos.

También se borrarán los archivo 'Win.com', 'Autoexec.bat' y
numerosos .DLL en la carpeta Windows\System. Esto causará
inestabilidad en el sistema, y la imposibilidad de
reiniciarse correctamente.

* Reparación manual

La única manera de evitar el borrado de los archivos, es
responder con un NO la pregunta de la falta de espacio.

Luego, siga los siguientes pasos para eliminar el troyano de
un sistema infectado.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

Microsoft Tasks

4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

5. Actualice sus antivirus

6. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros

7. Borre los archivos detectados como infectados

IMPORTANTE: Si el troyano se ha ejecutado, y se han borrado
archivos vitales del sistema, deberá reinstalar los mismos
desde un respaldo, o reinstalar Windows y los programas
correspondientes.

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - W32/ZVM. Asunto: Nuevo programa para bajar musica gratis
_____________________________________________________________

http://www.vsantivirus.com/zvm.htm

Nombre: W32/ZVM
Tipo: Gusano de Internet
Alias: W32.ZVM@mm, VBS.ZVM@mm, VBS/ZVM
Fecha: 29/jun/02
Tamaño: 22,528 bytes (UPX)
Plataformas: Windows 32-bits

Este gusano utiliza el Microsoft Outlook para propagarse a
todos los contactos de la libreta de direcciones de Windows,
en un mensaje con las siguientes características:

Asunto:
Nuevo programa para bajar musica gratis

Texto:
con este programa vas a poder bajar cualquier
tipo de musica las mejores canciones

Datos adjuntos: [Nombre original del gusano](22,528 bytes)

Cuando se ejecuta por primera vez, el gusano crea el
siguiente archivo con doble extensión:

C:\System.dll.vbs

Este archivo es identificado como VBS/ZVM, y es el verdadero
gusano (la parte que permite su propagación vía Internet).

Dicho script busca las direcciones para enviarse de la
libreta de direcciones del Outlook y Outlook Express. El
mensaje es idéntico al recibido anteriormente.

El virus intenta luego borrar los siguientes archivos:

C:\Windows\System\Wsock32.dll
C:\Windows\Rundll32.exe
C:\Windows\Rundll.exe
C:\Windows\Regedit.com
C:\Windows\Regedit.exe
C:\Windows\System\Vshield.vxd

* Reparación manual

Para reparar manualmente la infección provocada por este
virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros

3. Borre los archivos detectados como infectados por el virus

4. Si los archivos siguientes fueron eliminados, deberá
reinstalarlos usando la utilidad SCF, como se indica en
nuestro artículo 'Cómo Recuperar archivos con SFC en Windows
98 y Me' http://www.vsantivirus.com/faq-sfc.htm

C:\Windows\System\Wsock32.dll
C:\Windows\Rundll32.exe
C:\Windows\Rundll.exe
C:\Windows\Regedit.com
C:\Windows\Regedit.exe

También deberá reinstalar el antivirus VirusScan (si es el
que utiliza) para recuperar este archivo:

C:\Windows\System\Vshield.vxd

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________