VSantivirus No. 746 - Año 6 - Miércoles 24 de julio de 2002

VSantivirus No. 746 - Año 6 - Miércoles 24 de julio de 2002

VSantivirus No. 746 - Año 6 - Miércoles 24 de julio de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Dos cabezas para un disco. ¿La protección perfecta?
2 - CyberSpy v8.4: Un servidor de Telnet que es un troyano
3 - W32/Urick. Asunto: A Windows Trick
4 - BAT/Bwg.I. Asunto: PoloRalphLauren NEED part-timers!!!!!
_____________________________________________________________

1 - Dos cabezas para un disco. ¿La protección perfecta?
_____________________________________________________________

http://www.vsantivirus.com/24-07-02.htm

Dos cabezas para un disco. ¿La protección perfecta?

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

La compañía Scarabs, de origen japonés, ha desarrollado un
sistema que asegura puede convertirse en la protección
definitiva de un servidor de Internet contra ataques de
intrusos.

El sistema (no es una idea nueva, aunque hasta ahora nadie la
había desarrollado como protección anti-hacker), consiste en
un disco duro con dos cabezas independientes una de otra (nos
referimos a dos cabezas por comodidad, ya que en realidad un
disco duro posee de hecho varios cabezales, pero todos
controlados simultáneamente).

Esto permite que mientras un cabezal sigue las ordenes de
quienes navegan el sitio o de cualquiera que intentara
acceder a él por medios ilícitos a los efectos de modificar o
borrar una página, no tuviera oportunidad de grabar los
cambios, ya que el cabezal del disco que estaría usando no se
lo permitiría, estando solo preparado para leer los datos del
disco, no para grabarlos o modificarlos. Esto también podría
impedir la ejecución de un virus.

El disco cuenta con un segundo cabezal (o juego de cabezas),
independientes de las anteriores, y que si permitirían la
lectura y la grabación de datos, pero a estas cabezas solo
podrían acceder las personas autorizadas para actualizar o
mantener el sitio.

De esta forma, los visitantes tendrían acceso únicamente a la
lectura de archivos en el servidor, siendo imposible
modificarlos.

El inventor del sistema, Naoto Takano, actual CEO de Scarabs,
había experimentado con esta idea en 1985, cuando aún era un
simple investigador, pero el desarrollo se complicó por el
hecho de que todos los datos necesariamente debían ser
grabados por uno de los cabezales antes de que pudieran ser
leídos de nuevo. De todos modos, en esa época, Takano no
había imaginado su uso para proteger un servidor de Internet.

En diciembre del año pasado, la empresa presentó un prototipo
de su disco, con un tamaño de solo 1,6 GB, corriendo sobre
Windows NT4.0 y que gestionaba Active Server Pages e IIS, el
servidor de Microsoft. Sin embargo, no habría problemas para
adaptarlo a otros sistemas operativos.

El costo de este prototipo es de unos 863 dólares.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - CyberSpy v8.4: Un servidor de Telnet que es un troyano
_____________________________________________________________

http://www.vsantivirus.com/mr-cyberspy84.htm

CyberSpy v8.4: Un servidor de Telnet que es un troyano

Por Marcos Rico (*)
marcos@videosoft.net.uy

En un principio, cuando ni siquiera existía la interfaz
gráfica amistosa de la World Wide Web que todos conocemos
ahora, los ordenadores en la Red se manejaban de una forma
similar al MS-DOS, es decir, con líneas de comando.

Eran los tiempos de TELNET. Hoy día los nuevos internautas
poco experimentados ni siquiera saben qué es TELNET.
Sencillamente ha caído en desuso, lo cual no significa que
haya desaparecido por completo.

TELNET básicamente conecta ordenadores en Internet. Es por
tanto una herramienta para el control remoto de ordenadores
que se encuentran físicamente alejados pero conectados a
través de la Red.

Si una dirección normal de Internet (URL) empieza como http:/
/*, en TELNET empezaría de la forma telnet:/ /*.

Sabemos que en TELNET hay clientes (equivalentes a los
navegadores de Internet actuales) y servidores. El ordenador
que contiene el Cliente de TELNET es denominado comúnmente
Terminal. También se acepta por consenso que los Terminales
se conectan con el Host (un ordenador más grande y complejo).

Esta pequeña introducción a TELNET nos sirve para entender el
daño que puede realizar un programa como el que estamos
analizando.

CyberSpy v8.4 es un servidor de TELNET. Ante todo quiero
dejar bien claro que los servidores de TELNET son programas
perfectamente legítimos que incluso podemos descargarnos de
Internet para transformar nuestro ordenador en otro de los
servicios de TELNET que proveen información en la Red.

Sabemos que hay excelentes servidores de TELNET como
Fictional Daemon, Pragma TelnetServer, SLnet, VShell, WAISS,
etc.. Unos son gratuitos y otros son de pago, pero en
cualquier caso son programas legales que cualquiera se puede
bajar de Internet.

Un antivirus jamás detectará uno de esos programas legales,
pero sin embargo sí que debería detectar este servidor de
TELNET que aquí comento. ¿Por qué?

Una vez más la clave está en la forma de instalación del
servidor de TELNET. Si para instalarse el servidor nos pide
acceso en pantalla e incluso permite que lo configuremos,
entonces podemos colegir que las intenciones del programador
son buenas. En cambio, si observamos que el servidor de
TELNET se instala de manera silente sin pedir datos al
usuario, entonces podemos imaginar que las intenciones del
programador del servidor de TELNET son perversas.

Esto último es lo que pasa cabalmente con CyberSpy v8.4. Otro
dato que nos debe hacer desconfiar es que el servidor de
TELNET viene acompañado de un Editor. Con este editor el
atacante puede configurar los datos del Servidor sin
necesidad de hacerlo en la propia máquina de la víctima.

Los antivirus con buen criterio suelen reconocer estos
programas como amenazas. Ya conocemos los casos históricos de
otros Servidores de TELNET como Fire HacKer, Tiny Telnet
Server - TTS y Truva Atl. Todos ellos se consideraron como
código maligno y fueron detectados.

Pero entremos en detalles. ¿Qué podemos decir de CyberSpy
v8.4?

1. El nombre del archivo, una vez ejecutado en el ordenador
de la víctima, es Mswincfg32.exe; aunque es configurable a
elección del atacante.

2. En el Registro de Windows deja la entrada Mswincfg. Una
vez más he de decir que es editable la entrada a voluntad del
atacante.

3. El puerto que utiliza por defecto es el 14194 en vez del
más común para TELNET, 23.

4. Para notificar al atacante utiliza dos sistemas. El más
usado es la notificación por ICQ. También acepta notificación
por E-Mail.

5. Puede generar un falso mensaje de error en el ordenador de
la víctima cuando ejecute el Servidor de TELNET. El mensaje
por defecto (aunque editable) es el siguiente:

Fatal Error
This application requires at least
Microsoft Windows 95 to run!

6. Posee un pequeño Binder para fijar el Servidor a cualquier
otro ejecutable. También es indetectable.

7. Tiene una función muy curiosa que aplaza la ejecución del
Servidor de TELNET hasta la fecha elegida por el atacante.
Por defecto la fecha es 4-6-2003, aunque la función no viene
activada en el Servidor a menos que el atacante lo permita.

8. Para proteger aún más su invisibilidad en el ordenador de
la víctima, sólo abre el puerto de escucha cuando la víctima
está online. Esta función por defecto está desactivada.

9. Puede proteger el Servidor con una contraseña para que
sólo el atacante pueda acceder al ordenador infectado.

10. Por último, otra función curiosa que posee es que puede
falsear los datos del comando Netstat cuando el Cliente de
TELNET entre en conexión con el Servidor. Esto permitiría al
atacante ocultar su IP a la víctima.

Es obvio que para conectar con CyberSpy v8.4 el atacante
necesitará un cliente de TELNET legal. Con él tendrá control
remoto sobre el ordenador de la víctima.

Las últimas pruebas realizadas a las 4:00 AM (horario de
Europa) de hoy 24 de julio sobre la indetectabilidad de
CyberSpy v8.4 mostraban estos resultados:

Dr. Web: Detectable como BackDoor Trojan
McAfee: Detectable como BackDoor NT (tanto el Editor como
el Servidor).
Anti-Trojan: Indetectable.
Tauscan: Indetectable.
Norton: Indetectable.
Panda: Indetectable.
F-PROT: Indetectable.
AVP: Indetectable.
NOD32: Indetectable.

(Nota de Redacción: en el momento de la publicación de este
artículo, la lista de antivirus que habían examinado la
muestra enviada y publicado las actualizaciones ha aumentado,
según se muestra al final).

Al no ser un programa que se autoenvíe por E-Mail, no es de
alto riesgo, pero es nuestra obligación informar de todas las
amenazas que encontremos por Internet.

Una vez más nuestro consejo apunta hacia la instalación de un
buen cortafuegos en espera de la actualización
correspondiente de nuestro antivirus.

(*) Marcos Rico es un investigador independiente de virus,
troyanos y exploits, y colaborador de VSAntivirus.com.

* Nota de Redacción:

A la hora de publicación de este artículo, teníamos
respuestas y actualizaciones de Panda, McAfee, Norman,
Kaspersky, eTrust (InoculateIT).

* Referencias:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm

* Glosario

BINDER - Pequeño programa que simplemente une dos o más
archivos en un solo ejecutable. También es conocido como
Joiner, Juntador, Trojan-Dropper, Dropper, etc.

DROPPER (cuentagotas) - Es un archivo que cuando se ejecuta
"gotea" o libera un virus. Un archivo "dropper" tiene la
capacidad de crear un virus e infectar el sistema del usuario
al ejecutarse. Cuando un "dropper" es escaneado por un
antivirus, generalmente no se detectará un virus, porque el
código viral no ha sido creado todavía. El virus se crea en
el momento que se ejecuta el "dropper".

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - W32/Urick. Asunto: A Windows Trick
_____________________________________________________________

http://www.vsantivirus.com/urick.htm

Nombre: W32/Urick
Tipo: Gusano de Internet
Alias: WORM_URICK.A, URICK, URICK.A, W32/Urick@MM
Fecha: 22/jul/02
Plataforma: Windows 32-bits
Tamaño: 9,216 bytes

Este gusano de envío masivo, utiliza los contactos de la
libreta de direcciones del Microsoft Outlook para enviarles
el siguiente mensaje:

Asunto: A Windows Trick

Texto: This is a cool Windows Trick.
Microsoft has not developed a patch
for this because they do not want to.
Execute the file attached to learn
more of this Windows Trick. If it did
not work, use a Linux system instead.

Datos adjuntos: [varios nombres de archivos]

Cuando se ejecuta (doble clic sobre el adjunto), el gusano se
copia a si mismo en el directorio System de Windows y en la
carpeta personal del usuario infectado (Mis documentos).

La copia en la carpeta \System utiliza el mismo nombre del
adjunto recibido, pero con el agregado de la doble extensión
.JPG.EXE. Por ejemplo, si el nombre del archivo es
EJEMPLO.EXE, se graba como EJEMPLO.JPG.EXE.

También agrega la ubicación de la copia del gusano guardada
en la carpeta "Mis documentos" en la siguiente entrada al
registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

"Mis documentos" ("My documents" en inglés), tiene diferentes
ubicaciones de acuerdo a la versión de Windows instalada.

El gusano utiliza la interface MAPI (Messaging Application
Programming Interface) para enviar copias de si mismo a todos
los contactos de la libreta de direcciones del Outlook de la
máquina infectada en un mensaje como el descripto antes.

Contiene una rutina maliciosa que deshabilita el botón de
"Inicio" ("Start" en inglés), en Windows NT, 2000 y XP. Esto
no funciona en Windows 95/98.

Al ejecutarse muestra una ventana de texto con el siguiente
mensaje:

The trick worked

En las versiones en español, en caso de desaparecer el botón
de "Inicio", puede accederse a las opciones del menú con la
tecla de Windows, o pulsando CTRL+ESC.

* Reparación manual

Para eliminar manualmente este gusano de un sistema
infectado, primero deberá identificar el nombre de los
ejecutables infectados, ya que éste se genera al azar. Para
ello, actualice sus antivirus y examine su sistema, tomando
nota de los archivos infectados. Luego proceda de la
siguiente manera:

1. Detenga el proceso del virus en memoria:

a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

2. En ambos casos, en la lista de tareas, señale los procesos
que coincidan con los nombres de los ejecutables infectados y
seleccione el botón de finalizar tarea.

En Windows NT/2000 o XP, deberá seleccionar esta última
opción en la lengüeta Procesos.

3. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la entrada que coincida con el nombre del
ejecutable infectado detectado antes.

6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

8. Borre los archivos detectados como pertenecientes al
gusano, y también todo correo electrónico con las
características descriptas anteriormente.

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

4 - BAT/Bwg.I. Asunto: PoloRalphLauren NEED part-timers!!!!!
_____________________________________________________________

http://www.vsantivirus.com/bwg-i.htm

Nombre: BAT/Bwg.I
Tipo: Gusano de Internet (MS-DOS Batch)
Alias: Worm/BWG.I, PoloBoy, BAT/Polo
Fecha: 17/jul/02
Tamaño: 10,888 bytes

Este gusano está creado con la herramienta Batch Worm
Generator (BWG), y posee un componente en VBS (Visual Basic
Script) que le permite propagarse a través de Internet,
enviándose a toda la libreta de direcciones del Outlook y
también a través de los canales de IRC (Internet Relay Chat).

El mensaje enviado tiene estas características:

Asunto: PoloRalphLauren NEED part-timers!!!!!
Texto: Polo Ralph Lauren Need YOU!
Datos adjuntos: PoloBoy.vbs

Cuando el usuario hace doble clic sobre el adjunto, el gusano
se copia a si mismo en el directorio en que se ejecutó con el
nombre de 'Polo_Ralph_Lauren.BAT'.

También se crean los siguientes archivos:

C:\Windows\poloboys.bat
C:\Windows\polokids.bat
C:\Windows\pologers.bat
C:\Windows\pologirls.vbs
C:\Windows\polo_jeans.bat
C:\Windows\polo_scotts.bat
C:\pif.pif
C:\pif.lnk (enlace a C:\Windows\polodropper.vbs)
C:\Windows\Menú Inicio\Programas\Inicio\poloforkiddies.bat
C:\A_Simple_Yet_Weird_Worm_By_Polo_Ralph_Lauren\PoloBoy.jpg.BAT

Una vez que la rutina de propagación finaliza, todos los
archivos creados por el virus son borrados y el archivo
SYSTEM.INI de la carpeta \Windows es modificado.

'\Windows' puede variar de acuerdo a la versión de Windows
instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o
C:\WINNT en Windows NT/2000)

También examina el registro para averiguar si está instalado
el cliente de chat mIRC, a los efectos de propagarse en los
canales compartidos por la víctima.

Si localiza el programa, crea o modifica el archivo
SCRIPT.INI para agregar las instrucciones que permiten enviar
sus copias infectadas.

Otra de sus rutinas intenta el borrado de archivos
pertenecientes a conocidos antivirus:

avp32.exe
antivir.vdf
tc.exe
scan.dat
tbav.dat
fpw32.dll

También borra varias aplicaciones de Norton.

Se recomienda precaución al recibir archivos a través de los
canales de IRC. Sólo acepte archivos de personas que
realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar
respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su
configuración, funciones como "send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la
configuración de "DCC" para transferencia de archivos,
selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de
éstos.

* Reparación manual

Para reparar manualmente la infección provocada por este
virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros

3. Borre los archivos detectados como infectados por el virus

4. Desde Inicio, Ejecutar, escriba SYSTEM.INI y pulse Enter

5. Busque cualquier referencia a los archivos mencionados del
gusano, y borre la línea correspondiente que lo contenga.

6. Use Archivo, Salir y guarde los cambios hechos.

7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Limpieza de virus en Windows Me y XP

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________