VSantivirus No. 878 - Año 7 - Lunes 2 de diciembre de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Falso skin de KaZaa borra todos los archivos de Windows
2 - Troj/Dropper.W32.ExeStealth. Libera y ejecuta troyanos
3 - VBS/Hypoth.A. Borra archivos de sonido y animaciones
_____________________________________________________________

1 - Falso skin de KaZaa borra todos los archivos de Windows
_____________________________________________________________

http://www.vsantivirus.com/kazaa-eightball.htm

Falso skin de KaZaa borra todos los archivos de Windows

Por Jose Luis Lopez
videosoft@videosoft.net.uy

KaZaa, como muchos otros programas, admite el cambio de su
apariencia externa por medio de la carga de diferentes
"skins" (o pieles).

Sin embargo, los enemigos de este sistema de intercambio de
archivos entre usuarios (y no dude que los tiene), parecen
haber encontrado una nueva forma de "castigar" a quienes lo
utilizan (en las referencias hay otros artículos sobre otros
tipos de ataque).

Un reciente artículo publicado en "Tech Live", advierte a los
usuarios del KaZaa, sobre el peligro de instalar un
determinado skin llamado "Magic Eightball".

Este skin se presenta en un archivo comprimido llamado
"eightball2.zip". Una vez abierto, al ejecutarlo, en lugar de
cambiarle la cara al programa, se la cambia al incauto
usuario cuando ve como sus archivos de música (y todos los de
Windows) son borrados. Esto causa además el cuelgue del
sistema durante su ejecución.

El skin se propaga a través del propio KaZaa (aparece
fácilmente haciendo una búsqueda por "eightball skin").

Para proceder a borrar los archivos, el troyano utiliza una
característica de Windows XP, y por lo tanto su acción
destructiva solo se activa en este sistema operativo. Al
hacerlo, se muestran una serie de ventanas, donde primero se
nos pregunta si apreciamos la magia, para luego hacernos
desaparecer todos los archivos de Windows.

En Windows 9x y Me, al finalizar la exposición de ventanas
(aparecen hasta 8, con una cuenta final de 5 a 1), mostrará
un mensaje sobre la falta de un DLL, y no se ejecutará.

En Windows XP se borrarán todos los archivos del raíz del
disco duro y del propio sistema, incluidos los archivos .MP3.

Según expertos como Steve Trilling de Symantec, existen más
casos de código malicioso diseñado para aprovecharse de las
redes Peer-To-Peer como la de KaZaa.

El mayor problema es su forma de propagarse. A diferencia de
otros troyanos o gusanos, un código malicioso compartido en
una carpeta local entre millones de usuarios es un plato
mucho más tentador que un archivo descargado de Internet o
recibido vía correo electrónico.

Aunque debe tener en cuenta que existen cientos de otros
virus y troyanos que podrían aprovecharse de esta
"facilidad", por lo pronto evite descargar cualquier skin
para el KaZaa que se le pueda presentar en algún momento. En
realidad, debería evitar ejecutar todo programa descargado a
través del KaZaa sin revisarlo antes con uno o más antivirus
actualizados.

Después de todo, no estamos diciendo nada nuevo, sin embargo,
siempre existirán aquellos que suelen olvidarse de cosas tan
sencillas como esas.

Más información:

Troj/Darkgoose. Destructivo troyano que borra Windows
http://www.vsantivirus.com/darkgoose.htm

Cuidado con el KaZaa! ¿Es un MP3 o un virus?
http://www.vsantivirus.com/kazaa-virus-o-mp3.htm

Guerra sucia contra la piratería. ¡Cuidado con los MP3!
http://www.vsantivirus.com/20-08-02.htm

P2P: Cuando la inseguridad es... ¿legal?
http://www.vsantivirus.com/mr-p2plegal.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Troj/Dropper.W32.ExeStealth. Libera y ejecuta troyanos
_____________________________________________________________

http://www.vsantivirus.com/exe-stealth.htm

Nombre: Troj/Dropper.W32.ExeStealth
Tipo: TrojanDropper
Alias: ExeStealth, TrojanDropper.Win32.ExeStealth,
EXE Stealth
Fecha: 2/dic/02
Fuente: Kaspersky

Este programa, no es técnicamente un caballo de Troya en si
mismo, pero está diseñado para esconder cualquier otro
archivo ejecutable dentro de él. Este archivo (un troyano o
un virus), puede luego ser liberado en la computadora y luego
ejecutado, todo en forma silenciosa y clandestina, lo que
convierte a esta "herramienta" en un troyano.

Un DROPPER (o cuentagotas), es un código que cuando se
ejecuta "gotea" o libera un virus. Por lo tanto un "dropper"
tiene la capacidad de crear un virus e infectar el sistema
del usuario al ejecutarse. Cuando un "dropper" es escaneado
por un antivirus, generalmente no se detectará un virus,
porque el código viral no ha sido creado todavía. El virus se
crea en el momento que se ejecuta el "dropper". ExeStealth en
cambio, ha sido agregado a las bases de datos de casi todos
los antivirus.

Cuando ExeStealth se ejecuta, no hay ninguna indicación para
la víctima de que se instala y ejecuta otro programa en el
sistema.

ExeStealth puede transportar y liberar un solo .EXE, y no se
ejecuta si detecta la presencia de algún "debugger" como
"SoftIce" en el sistema. Un debugger permite examinar paso a
paso la ejecución de un programa para examinarlo y es
utilizado a menudo por los investigadores de virus.

El archivo .EXE puede ser encriptado por el propio programa.

Al ejecutarse, ExeStealth guarda el valor "666" (29Ah en
hexadecimal), en una variable interna, pero no parece hacer
uso de ella en algún momento. Esto podría ser una prueba
indirecta de que el autor o los autores, pertenezcan al grupo
29A, conocidos programadores de virus.

El paquete original de esta "herramienta" incluye varios
archivos:

- El propio dropper
- Una utilidad de configuración para personalizarlo
- Un archivo de texto (readme.txt) donde figura entre otra,
la siguiente información:

EXE Stealth V2.3 Shareware by WebtoolMaster Date: 23.08.2002

Recuerde que no se trata de un troyano en si mismo, sino que
puede transportar y ejecutar uno (o cualquier otro
ejecutable, incluido un virus). Por ello, la limpieza de un
sistema infectado en principio consiste solo en borrar este
archivo y el creado por él en el sistema. Un procedimiento
más extenso puede ser necesario en caso de que el troyano o
virus liberado se haya ejecutado.

Mantener actualizados sus antivirus, impedirá que este
dropper llegue a cumplir su cometido.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - VBS/Hypoth.A. Borra archivos de sonido y animaciones
_____________________________________________________________

http://www.vsantivirus.com/hypoth-a.htm

Nombre: VBS/Hypoth.A
Tipo: Gusano de Visual Basic Script
Alias: VBS.Hypoth.A, Generic Mailworm, VBS.Hypoth@mm,
VBS/Worm.Variant.Worm
Tamaño: 8,499 bytes, 19,692 bytes
Fecha: 27/nov/02
Actualizado: 2/dic/02

Este gusano, escrito en Visual Basic Script, utiliza las
facilidades del Microsoft Outlook y Outlook Express para
propagarse a través del correo electrónico a toda la lista de
direcciones de dichos programas. Además infecta archivos .VBS
y .VBE, y borra archivos multimedia (sonidos y películas),
suplantándolos con su propio código.

El contenido del mensaje varía de acuerdo a la versión del
sistema operativo, a la ubicación de la carpeta System de
Windows, e incluso a la fecha actual. El archivo adjunto
siempre tiene extensión .VBS (esta extensión queda oculta en
una instalación por defecto de Windows).

Cuando el gusano se ejecuta, busca en el registro la
ubicación del directorio System de Windows, y se copia en él
en dos archivos. El nombre del directorio System puede variar
de acuerdo al sistema operativo instalado:
"C:\Windows\System" en Windows 9x/ME, "C:\WinNT\System32" en
Windows NT/2000 y "C:\Windows\System32" en Windows XP.

Por ejemplo, en el caso de Windows 9x y Me, se copiaría en la
siguiente ubicación:

C:\Windows\System\Runmsdsk32.vbs
C:\Windows\System\SiteList.vbs

Para autoejecutarse en cada reinicio de la computadora, el
gusano crea la siguiente entrada en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Runmsdsk32 = "Wscript.exe c:\windows\system\Runmsdsk32.vbs %1"

El mensaje tiene este formato:

Asunto: Hey [nombre destinatario]!
Datos adjuntos: SiteList.vbs

Texto del mensaje:
[nombre destinatario]! Get free mp3s from the web
site that i go to!
I can get almost any music that I want, just look
at all the cool sites that I went to in the
attachments.

Bye

Si el sistema infectado fuera Windows NT o 2000, se copiaría
en la siguiente ubicación:

C:\Winnt\Winnt32.vbs
C:\Winnt\system32\Jokes.vbs

Y agregaría la siguiente clave en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winnt32 = "Wscript.exe c:\winnt\Winnt32.vbs %1"

El mensaje enviado en este caso, sería como el siguiente:

Asunto: Hello [nombre destinatario]!
Datos adjuntos: Jokes.vbs

Texto del mensaje:
Have fun with these great jokes!
[nombre del usuario infectado (falla)]

El gusano intenta insertar también el nombre del remitente en
el mensaje, pero falla debido a un error en su código.

Si el sistema fuera Windows XP, entonces utilizaría las
siguientes ubicaciones para copiarse:

C:\Windows\System32\Confidential.vbs
C:\Windows\[nombre al azar].vbs

En ocasiones también se copia como:

C:\Windows\System32\[nombre al azar].vbs
C:\Windows\TEMP\[nombre al azar].vbs

El [nombre al azar] consiste de 1 hasta 11 letras minúsculas,
por ejemplo:

hxvkgnpsjgd.vbs

También se agrega al registro para autoejecutarse en próximos
reinicios:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Runxpdsk32 = "Wscript.exe [nombre al azar] %1"

El mensaje en este caso, tendrá el siguiente formato:

Asunto:
Here is that file you wanted, [nombre destinatario].
Datos adjuntos: Confidential.vbs

Texto del mensaje:
This is the file you wanted - don't let anyone
else see it!
[nombre del usuario infectado (falla)]

También intenta insertar también el nombre del remitente en
el mensaje, pero falla debido a un error en su código.

En el caso que el directorio System no fuera ninguno de los
anteriores (instalación de Windows en carpetas diferentes a
las usadas por defecto, por ejemplo), entonces el gusano se
copiaría en las siguientes ubicaciones:

[carpeta al azar]\Runmnt32.vbs
%system%\HolidayPics.vbs

%system% corresponde a la carpeta que por defecto es
Windows\System por ejemplo.

También agrega en este caso, la siguiente entrada en el
registro, para el mismo cometido que en los casos anteriores:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Runmnt32 = "Wscript.exe [carpeta al azar]\Runmnt32.vbs %1"

El mensaje enviado tendría el siguiente formato:

Asunto: Check this out, [nombre destinatario]!
Datos adjuntos: HolidayPics.vbs

Texto del mensaje:
Hello [nombre destinatario],

check out these pictures of my last holiday!

Dont get jealous!
[nombre del usuario infectado (falla)]

Cómo en los casos anteriores, el gusano intenta también
insertar el nombre del remitente en el mensaje, pero falla
debido a un error en su código.

Si el día en que se ejecuta, fuera el 8 de agosto de
cualquier año, el gusano utilizaría el siguiente mensaje para
enviarse, sin importar la ubicación del directorio System ni
la versión de Windows:

Asunto: Urgent Update!
Datos adjuntos:
[un archivo seleccionado al azar de la siguiente lista]:

SecurityUpdate.vbs
Update.vbs
UpdateSecurity.vbs
UpdateInstaller.vbs
UpdateSetup.vbs
Readme.vbs

Texto del mensaje:
[nombre destinatario],

Your computer will need this update to protect
your computer from new email viruses. I installed
this update and it works fine.

Thanks.

También se copiaría a si mismo usando un nombre al azar, en
la carpeta System.

En todos los casos, por cada dirección de envío, el gusano
crea una entrada en el registro como la siguiente:

HKCU\Software\Theory\Theory\RecordContacts
[nombre destinatario] = "[nombre destinatario]"

Usará estas entradas como comprobación de la acción, y para
no reiterar las direcciones, evitando el envío de más de un
mensaje a cada destinatario.

En todos los casos, el gusano crea el siguiente valor en el
registro:

HKEY_CURRENT_USER\Software\Theory
Theory = "VBS/Theory by Zed"

Luego, también en todos los casos anteriores, el gusano se
copia a si mismo en cada archivo con extensiones *.VBS y
*.VBE que hayan sido encontrados en las unidades de disco
locales y de red, infectándolos (los mismos quedarán
corruptos aún después de eliminar el gusano).

Además, busca en todos los discos y carpetas, archivos con
las siguientes extensiones:

*.mp2
*.mp3
*.mpg
*.mpe
*.mpeg
*.avi
*.mov

Todos los archivos encontrados con esas extensiones, serán
borrados y reemplazados con una copia del propio gusano, con
el mismo nombre más la extensión .VBS.

Por ejemplo, si encuentra un archivo llamado TEMA.MP3 lo
borra, y luego se copia a si mismo en la misma ubicación del
archivo borrado, pero con este nombre: TEMA.MP3.VBS. La
extensión .VBS quedará oculta en una instalación por defecto
de Windows y cuando se intente hacer doble clic sobre
TEMA.MP3 se ejecutará el gusano .VBS (ver en las referencias
"Mostrar las extensiones verdaderas de los archivos").

Finalmente, el gusano entra en un bucle sin fin, para
asegurarse que una copia del mismo siempre esté presente en
el directorio del sistema, y en el registro de Windows. Aún
si fuera borrado del disco, de permanecer en memoria,
volvería a copiarse antes que el usuario reiniciara la
computadora.

* Reparación manual

Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones,
luego reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros

3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos no son reparables, y deberán
ser reinstalados o copiados de un respaldo anterior.
Sugerimos que se llame a un servicio técnico especializado
para realizar estas tareas si no desea arriesgarse a perder
información valiosa de su computadora.

* Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre cualquier entrada similar a las siguientes que
aparezca:

Runmsdsk32 = "Wscript.exe c:\windows\system\Runmsdsk32.vbs %1"
Winnt32 = "Wscript.exe c:\winnt\Winnt32.vbs %1"
Runxpdsk32 = "Wscript.exe [nombre al azar] %1"
Runmnt32 = "Wscript.exe [carpeta al azar]\Runmnt32.vbs %1"

4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Theory

5. Pinche en la carpeta "Theory" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script
Defender, utilidad que nos protege de la ejecución de
archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF,
.WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y
gusanos escritos en Visual Basic Script por ejemplo, ya no
nos sorprenderán.

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm

* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".

3. Seleccione la lengüeta "Ver".

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".

En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".

6. Pinche en "Aplicar" y en "Aceptar".

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________