Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número  desde
el 12 de agosto de 1996
| JS/FakeHost. Suplanta el archivo HOSTS por uno falso
|
| |
VSantivirus No. 668 - Año 6 - Lunes 6 de mayo de 2002
JS/FakeHost. Suplanta el archivo HOSTS por uno falso
http://www.vsantivirus.com/fakehost.htm
Nombre: JS/FakeHost
Tipo: Caballo de Troya de Javascript
Fecha: 25/feb/02
Es un troyano escrito en javascript, que crea un archivo HOSTS inválido en el sistema de la víctima, cuando una página Web maliciosa, conteniendo el script del troyano, es visualizada. El código del script está encriptado, y se auto desencripta mientras es visto en el navegador.
El archivo HOSTS es usado por Windows para asociar nombres de dominio con direcciones IP. Si este archivo existe (en
C:\Windows\), el sistema lo examina antes de hacer una consulta a un servidor DNS. Tenga en cuenta que no necesariamente debe existir, y generalmente no es necesario.
Un servidor DNS hace la misma tarea, convertir algo como www.nombre.com en una dirección IP, tipo 200.165.104.181 (es ficticia), que es lo que necesitan las computadoras para conectarse.
Si existe un archivo HOSTS en la máquina infectada, el mismo es sobrescrito por el troyano.
El HOSTS que pone el troyano, por su parte, contiene una lista de populares sitios, los que son asociados a una sola dirección IP ficticia. De este modo, cuando queramos navegar al sitio de google.com (por ejemplo), iremos a una dirección falsa.
La lista de sitios del nuevo HOSTS es la siguiente:
hotmail.com
yahoo.com
msn.com
altavista.com
google.com
paypal.com
ebay.com
buy.com
microsoft.com
icq.com
usa.net
usa.com
netscape.net
netscape.com
aol.com
web.de
excite.com
qwest.net
dell.com
hp.com
sony.com
gateway.com
ibm.com
bestbuy.com
prodigy.net
att.com
att.net
earthlink.net
earthlink.com
mail.com
lycos.com
av.com
mp3.com
hollywood.com
cnn.com
nba.com
nhl.com
nfl.com
usatoday.com
weather.com
money.com
geocities.com
amazon.com
bankamerica.com
wu.com
westernunion.com
c2it.com
visa.com
internet.com
ivillage.com
real.com
x10.com
about.com
www.hotmail.com
www.yahoo.com
www.msn.com
www.altavista.com
www.google.com
www.paypal.com
www.ebay.com
www.buy.com
www.microsoft.com
www.icq.com
www.usa.net
www.usa.com
www.netscape.net
www.netscape.com
www.aol.com
www.web.de
www.excite.com
www.qwest.net
www.dell.com
www.hp.com
www.sony.com
www.gateway.com
www.ibm.com
www.bestbuy.com
www.prodigy.net
www.att.com
www.att.net
www.earthlink.net
www.earthlink.com
www.mail.com
www.lycos.com
www.av.com
www.mp3.com
www.hollywood.com
www.cnn.com
www.nba.com
www.nhl.com
www.nfl.com
www.usatoday.com
www.weather.com
www.money.com
www.geocities.com
www.amazon.com
www.bankamerica.com
www.wu.com
www.westernunion.com
www.c2it.com
www.visa.com
www.internet.com
www.ivillage.com
www.real.com
www.x10.com
www.about.com
Todas están asociadas a la misma dirección IP.
Para limpiar un sistema infectado, solo borre el archivo C:\Windows\HOSTS (no posee extensión).
Este archivo puede ser editado con el bloc de notas o el Wordpad en modo texto. Recuerde que el archivo puede existir en su sistema, y no necesariamente ser el mismo creado por el troyano. En ese caso, no lo borre.
Uso de Proxomitron para protegernos de HTMLs maliciosos
Para disminuir el riesgo de infección y evitar daños provocados por el uso malintencionado de código malicioso embebido en páginas WEB por el simple hecho de visualizarlas, recomendamos la instalación de la utilidad Proxomitron.
Para instalar y configurar esta utilidad, así como para obtener más información sobre la misma, siga este enlace:
VSantivirus No. 646 - 14/abr/02
Proxomitron. Una protección imprescindible para navegar
http://www.vsantivirus.com/proxomitron.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
 
|