VSantivirus No. 896 - Año 7 - Viernes 20 de diciembre de 2002

VSantivirus No. 896 - Año 7 - Viernes 20 de diciembre de 2002

VSantivirus No. 896 - Año 7 - Viernes 20 de diciembre de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Virus “disfrazados” de felicitaciones navideñas
2 - VBS/Gaggle.B. Usa mensajes en español para propagarse
3 - Troj/Loath. Redirecciona a sitios bancarios falsos
_____________________________________________________________

1 - Virus “disfrazados” de felicitaciones navideñas
_____________________________________________________________

http://www.vsantivirus.com/20-12-02.htm

Virus “disfrazados” de felicitaciones navideñas
Por Panda Software

En los últimos días, Klez.I se ha enviado en mensajes cuyo
asunto es “Happy Christmas”

Al llegar la Navidad es habitual que proliferen e-mails que
adjuntan pequeñas aplicaciones gráficas, en forma de
felicitaciones de Pascua o del nuevo año. Conscientes de
ello, los creadores de virus aprovechan para generar códigos
que, bajo un inocente aspecto, aluden a la Navidad para
engañar al usuario y conseguir que ejecute el archivo que
contiene al código malicioso, contribuyendo así a su
difusión.

Entre los gusanos que aprovechan el mencionado recurso
destaca Klez.I, debido a su capacidad para variar los asuntos
de los mensajes en los que se envía. Esta característica, que
dificulta su identificación por parte de los usuarios, le
permite generar los asuntos de los e-mails en los que se
propaga a partir de las palabras que aparecen en alguno de
los archivos que se encuentran en el ordenador al que ha
afectado. Debido a las fechas en las que nos hallamos, muchos
archivos de los usuarios aluden, de forma expresa a la
Navidad. Esto explica que, en los últimos días, el servicio
SOS de Panda Software haya recibido muchos e-mails que
incluyen la variante “I” de Klez, que ha utilizado -como
asunto de dichos mensajes- textos como los que aparecen a
continuación: “Happy Christmas”, “Happy excite Christmas”,
“Happy funny Christmas”, “Happy good Christmas”, etc.

Otro código que utiliza la Navidad para atraer la atención
del usuario es Bride.B, que apareció en noviembre incluyendo
-en el cuerpo del mensaje en el que se manda- la siguiente
frase: “I wish you a merry Christmas and happy new year” (“Te
deseo unas felices navidades y un feliz año nuevo”).

Para impedir que los virus “camuflados” en felicitaciones
navideñas infecten los equipos, Panda Software Uruguay
aconseja no bajar la guardia y extremar las precauciones con
los mensajes de correo electrónico que se reciban. La
multinacional española también recomienda adoptar medidas de
seguridad básicas, entre las que sobresale actualizar,
regularmente, las soluciones antivirus instaladas y evitar
ejecutar ficheros adjuntos a mensajes de correo sin haberlos
analizado, previamente, con un antivirus. Además, hay que
tener cuidado al navegar por páginas web de autoría dudosa, o
cuyos contenidos no inspiren confianza, ya que suelen ser
utilizados para instalar códigos maliciosos -casi siempre
troyanos- en el equipo de las personas que las visitan.

Artículo proporcionado por María Jesús Villagrán
PANDA SOFTWARE URUGUAY
MailTo: mjvillagran@pandasoftware.com.uy

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - VBS/Gaggle.B. Usa mensajes en español para propagarse
_____________________________________________________________

http://www.vsantivirus.com/gaggle-b.htm

Nombre: VBS/Gaggle.B
Tipo: Gusano de Internet y virus
Alias: VBS.Gaggle.B@mm, HTML/Gaggle.B, W32/Gaghiel.B@mm,
VBS/Gaggle.B@mm
Fecha: 18/dic/02
Plataforma: Windows 32-bits
Tamaños: varios (24,712 bytes, 37,524 bytes, 54,680 bytes)
Fuente: Symantec

Este gusano se propaga masivamente a toda la libreta de
direcciones de Microsoft Outlook y Outlook Express. También
intenta hacerlo vía IRC, si está instalado el mIRC.

El gusano se agrega a todo archivo con extensión .asp, .hta,
.htm, .html, .msconfig, .php, .phtm, .phtml, .plg, .regedb32,
.sfc, .shtm, y .shtml, en todas las carpetas de todos las
unidades de disco, a excepción de los directorios raíces.

También sobrescribe todos los archivos con extensión .VBS en
todas las carpetas y discos de la máquina infectada, a
excepción de cada directorio raíz.

También borra los archivos MSCONFIG.EXE, REGEDIT.EXE y
SFC.EXE (dependiendo de la versión de Windows), lo que
dificulta su desinfección.

El gusano se propaga empleando varios mensajes en español,
que aumentan la probabilidad de engañar al usuario para que
este abra el adjunto (un archivo HTML con el script del
gusano embebido en él) y se infecte. Estas son sus
características (faltas de ortografía y errores gramaticales
incluidos):

Versión 1:

Asunto: Su computadora es un Zombi?
Datos adjuntos: PcZombi.html

Texto del mensaje:
Debido al reciente ataque a los servidores
raiz DNS de la red, el FBI a determinado q' tan solo
en EEUU, hay 80.000 computadoras zombis.
Zombis se aplica a las Pc, afectadas por un RAT
(Troyano de Acceso Remoto), q' a diferencia de virus
y gusanos no dan sintomas, por lo que la mayoria de
usuarios desconoce que sus Pc estan infectadas y
siendo accedidas para robar informacion o lanzar
ataques a otras maquinas.
Como saber si su computadora esta infectada con
un RAT, en la pagina adjunta.
www.gratisweb.com/machinedramon1/gaghiel.html

Versión 2:

Asunto: Windows y Osama Ben Laden
Datos adjuntos: RAT seguridad.html

Texto del mensaje:
Debido a las recientes declaraciones de
un mienbro de Al-Qaida(Red de Ben Laden), de que
infiltrados entre los tecnicos de Microsoft, abri
an, incluido dentro del codigo de algunas versio
nes Windows, una Puerta Trasera(Troyano), para
poder acceder a las maquinas y robar informacion
o usarlas para un ataque coordinado.
Aunque Microsoft a negado esto, el FBI investiga
y agencias como la CIA, han cambiado los sistemas
de sus PCs, para evitar un ataque.
Como saber si su Pc esta afectada en la pagina
adjunta
www.gratisweb.com/machinedramon1/gaghiel.html

Versión 3:

Asunto: Te envio la info que me pediste
Datos adjuntos: InformacionCuentas.html

Texto del mensaje:
Hola, se me perdio el papel q' me
diste con tu mail, ojala no me haya equivocado al
escribirla.
Te envio la info q' me pediste(confidencial)
Reenviame la direccion de tu mail, saludame a
Raúl y despideme de Patty. Adios
www.gratisweb.com/machinedramon/gaghiel.html

Versión 4:

Asunto: VirtualLetter
Datos adjuntos: VirtualLetter.html

Texto del mensaje:
Una targeta virtual le ha sido enviada
desde esta direccion de correo.
los datos del remitente de la targeta y donde
verla, en la pagina adjunta.
Tiene 7 dias a partir de hoy, para ver o descar
gar su targeta antes de que sea borrada
VirtualLetter, un servicio de LatinRed
Email enviado sin acentos
www.gratisweb.com/machinedramon/gaghiel.html

Versión 5:

Asunto: Sexalud
Datos adjuntos: Sexalud.html

Texto del mensaje:
Sexalud,la pagina de Terra para resolver
tus dudas de sexualidad.
Visitanos en www.terra.com.pe/sexalud
Un Test para saber si eres buen(a) amante en la
pagina adjunta
www.gratisweb.com/machinedramon/gaghiel.html

El archivo adjunto ocupa siempre 54,680 bytes. Cuando el
usuario abre este adjunto, se abre el Internet Explorer, la
barra del título muestra el texto "Naria y Erya" y en la
ventana del navegador se muestra este mensaje:

Gaghiel
Error Cargando : 2015

Luego, Windows muestra su ventana de advertencia sobre el uso
de archivos ActiveX:

Internet Explorer

Algunos elementos de software (controles ActiveX) en
esta página podrían no ser seguros. No se recomienda
ejecutarlos. ¿Desea permitir que se ejecuten?

[ Si ] [ No ]

Si se selecciona el botón [Si], el gusano crea el siguiente
archivo:

C:\Windows\System\Gaghiel.vbs (24,712 bytes)

En todos los casos, "C:\Windows" y "C:\Windows\System" pueden
variar de acuerdo al sistema operativo instalado (con esos
nombres por defecto en Windows 9x/ME, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP).

Luego, el gusano agrega dicho archivo al registro, para
autoejecutarlo en cada nuevo reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Gaghiel = C:\Windows\System\Gaghiel.vbs

También crea la siguiente entrada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Domain Manager
Gaghiel = C:\Windows\System\Gaghiel.vbs

Después, el gusano muestra el siguiente mensaje de error
falso, cuando el virus ya se ha instalado:

Microsoft Internet Explorer

Error 13
Esta Pagina Requiere Controles ActiveX
para ser mostrada en su totalidad
Presione Actualizar y Acepte

[ Aceptar ]

Cuando el gusano se vuelva a ejecutar (desde "Gaghiel.vbs"),
creará los siguientes archivos:

C:\Windows\Gaghiel.html
C:\Windows\System\AngeldelMar.html
C:\Windows\TEMP\PcZombi.html
C:\Windows\TEMP\RAT seguridad.html
C:\Windows\TEMP\InformacionCuentas.html
C:\Windows\TEMP\VirtualLetter.html
C:\Windows\TEMP\Sexalud.html

El primero de estos archivos (Gaghiel.html), tiene un tamaño
de 37,524 bytes, y los restantes 54,680 bytes cada uno,
idénticos a los recibidos vía e-mail, ya que de hecho son
copias del mismo.

Después, sobrescribe todos los archivos .VBS de todas las
carpetas y discos, menos de cada raíz (si hubieran allí
archivos .VBS)

Luego, busca archivos con las siguientes extensiones (en
todos los discos y directorios excepto los raíces):

.asp
.hta
.htm
.html
.msconfig
.php
.phtm
.phtml
.plg
.regedb32
.sfc
.shtm
.shtml

Si los archivos encontrados no están ya infectados, agrega a
los mismos su script. Al principio de cada archivo infectado
agrega el texto "Gaghiel" como marca de infección. Los
archivos infectados aumentan su tamaño en 54,588 bytes.

Los mismos archivos pueden llegar a ser borrados por el
gusano.

Si la fecha actual es posterior al día 25 de cualquier mes,
modifica la página de inicio del Internet Explorer para que
se abra en determinado sitio Web. Para ello, cambia la
siguiente rama del registro:

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page =
http://www.gratisweb.com/machinedramon1/sachiel.jpg.scr

La página ya no existe.

Si la suma del día y el mes es igual a 30 (29/1, 28/2, 27/3,
26/4, 25/5, 24/6, 23/7, 22/8, 21/9, 20/10, 19/11 y 18/12), el
gusano muestra una ventana con el siguiente mensaje:

VBScript: Gaghiel

Oracion antes de entrar al internet:

Satelite nuestro que estas en el cielo,
Acelerado sea tu link,
Venga a nosotros tu hipertexto,
Hagase tu conexion en lo real como en lo virtual
Danos hoy el download de cada dia,
Perdona el cafe en el Teclado,
Asi como nosotros perdonamos a nuestros proveedores,
No nos dejes caer la conexion,
Y libranos de todo Virus,
En nombre del Server, del Modem y del santo User-name.
Log-in

GEDZAC LABS 2002
VBS/Gaghiel by MachineDramon
Hecho en el Perú, Calidad Mundial
Sachiel2015@latinmail.com

[ Aceptar ]

El gusano se envía a toda la libreta de direcciones, en
mensajes como los ya descriptos.

Si existe en la computadora infectada el archivo "Mirc32.exe"
o "Mirc.ini" (o sea el cliente para chat, mIRC), el gusano
crea el archivo "Chanel.hlp" (2,842 bytes), en la misma
carpeta donde se encuentre el programa.

Por medio de ese archivo, el gusano puede enviarse a si mismo
a otros usuarios conectados a los mismos canales de IRC.

En las computadoras que lo tengan (de acuerdo a la versión de
Windows instalada), el virus borra los siguientes archivos:

Msconfig.exe
Regedit.exe
Sfc.exe

* Reparación manual

1. Actualice sus antivirus
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.

* Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los
siguientes archivos:

C:\Windows\Gaghiel.html
C:\Windows\System\AngeldelMar.html
C:\Windows\System\Gaghiel.vbs
C:\Windows\TEMP\PcZombi.html
C:\Windows\TEMP\RAT seguridad.html
C:\Windows\TEMP\InformacionCuentas.html
C:\Windows\TEMP\VirtualLetter.html
C:\Windows\TEMP\Sexalud.html

En la carpeta donde esté instalado el mIRC borre estos
archivos:

Mirc.ini
Chanel.hlp

Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".

Borre también los mensajes electrónicos similares al
descripto antes.

* Cómo recuperar REGEDIT.EXE, MSCONFIG.EXE, SFC.EXE

Si el componente .VBS se ha ejecutado, estos archivos habrán
sido borrados. Para quitar el gusano del registro, es
necesario la presencia al menos del editor REGEDIT.EXE, por
lo que deberá ser reinstalado o recuperado de un respaldo
anterior (examine la documentación de su sistema operativo o
acuda a un técnico competente que le ayude a resolver el
problema sin perder datos valiosos de su computadora).

* Editar el registro (si ya recuperó REGEDIT.EXE)

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:

Gaghiel

4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run Domain Manager

5. Pinche en la carpeta "Run Domain Manager " y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Información adicional
* Windows Scripting Host y Script Defender

Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm

Si no desea deshabilitar el WSH, recomendamos instalar Script
Defender, utilidad que nos protege de la ejecución de
archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF,
.WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y
gusanos escritos en Visual Basic Script por ejemplo, ya no
nos sorprenderán.

VSantivirus No. 561 - 20/ene/02
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm

* Procedimiento para restaurar página de inicio

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Pinche en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Pinche en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también
la página inicio" y seleccione el botón SI.

7. Pinche en "Aceptar".

* Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en
el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm

* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".

3. Seleccione la lengüeta "Ver".

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".

En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".

6. Pinche en "Aplicar" y en "Aceptar".

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - Troj/Loath. Redirecciona a sitios bancarios falsos
_____________________________________________________________

http://www.vsantivirus.com/loath.htm

Nombre: Troj/Loath
Tipo: Caballo de Troya
Alias: Win32.Loath, W32/Loath
Plataforma: Windows NT, 2000, XP
Fecha: 20/dic/02

Este troyano redirecciona páginas de instituciones bancarias,
en este caso brasileras, con la supuesta intención de robar
información confidencial del usuario infectado.

El troyano ha sido reportado como enviado masivamente en un
mensaje que simula ser una actualización de seguridad de
Microsoft, con un adjunto llamado "patch_2002.exe".

Sin embargo, esta acción debió hacerse en forma manual, ya
que el troyano no posee ninguna capacidad de autoenviarse.
Esto significa además, que podría ser enviado con cualquier
otro nombre y simulando cualquier utilidad, en forma
premeditada para engañar a su víctima.

Cuando se ejecuta, se copia a si mismo en una de las
siguientes ubicaciones (según el sistema operativo, Windows
NT, 2000 o XP):

c:\windows\system32\tctrl.exe
c:\winnt\system32\tctrl.exe

El troyano crea también la siguiente entrada en el registro,
para ejecutarse cada vez que Windows se reinicia:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinSec = c:\windows\system32\tctrl.exe

Cuando se ejecuta, muestra una pantalla de instalación
completa (con barra de progreso, etc.) que simula instalar
algo.

[ver imagen en http://www.vsantivirus.com/loath.htm]

Mientras muestra esto (que es falso), el troyano intenta
modificar el archivo HOSTS, ubicado en alguno de estos
lugares según se trate de Windows NT, 2000 o XP:

c:\windows\system32\drivers\etc\hosts
c:\winnt\system32\drivers\etc\hosts

En Windows 95, 98 y Me la ubicación de HOSTS es diferente.

Si no existen, se muestra un mensaje de error con el
siguiente texto:

Microsoft (r)
Invalid filename
[ OK ]

El archivo HOSTS es el primer lugar consultado por el sistema
operativo a la hora de resolver un nombre de dominio, antes
que hacerlo en una máquina DNS.

Por ejemplo, si en ese archivo existiera algo así (las xxx
representan números de una dirección IP):

www.nombre.com xxx.xxx.xxx.xxx

Entonces, cuando tecleamos www.nombre.com en el explorador,
la computadora intentaría conectarse a la dirección IP
xxx.xxx.xxx.xxx, lo que resulta en un acceso más rápido (se
evita el paso de consultar la dirección IP). Por supuesto,
esto no es práctico para usarlo con todos los sitios de
Internet visitados.

El troyano saca provecho de esta habilidad para agregar allí
direcciones falsas de diversas instituciones bancarias,
haciéndolas apuntar a otros sitios que debido a su apariencia
idéntica, simulan ser los verdaderos. Presumiblemente estos
sitios falsos sean mantenidos por el autor.

En esta versión del troyano, estos son los dominios
redireccionados (todos corresponden a sucursales bancarias
brasileñas, que ya han sido avisadas):

www.bb.com.br
bb.com.br
www.itau.com.br
itau.com.br
www.hsbc.com.br
hsbc.com.br
www.bradesco.com.br
bradesco.com.br
www.caixa.gov.br
caixa.gov.br

Cada par de estas cinco instituciones, es redireccionada a
diferentes direcciones IP, donde existen sitios idénticos a
los verdaderos.

Para limpiar un sistema infectado, borre el archivo del
troyano, y quite las referencias mencionadas en el archivo
HOSTS (no tiene extensión), editándolo por ejemplo, con el
bloc de notas. Al grabar los cambios, asegúrese de que no se
agregue una extensión al nombre (no ocurrirá a no ser que
seleccione "Grabar como...").

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________