Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Bugbear, el gusano que "infecta" impresoras
 
VSantivirus No. 818 - Año 6 - Jueves 3 de octubre 2002

Bugbear, el gusano que "infecta" impresoras
http://www.vsantivirus.com/faq-bugbear.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy


Información actualizada (3/oct/02)


Impresoras infectadas

A medida que aumenta la cantidad de infecciones de este gusano, se conocen más detalles del mismo, algunos ignorados por los laboratorios antivirus en sus primeros exámenes.

Una de sus características, es que intenta copiarse a todos los recursos compartidos en red, incluyendo impresoras.

Lógicamente, una impresora no puede ser infectada (tal vez el software, pero no la impresora), y como respuesta visible a este intento de copiar el código binario del gusano en ellas, intenta imprimir dicho código, generando basura ininteligible. Es lo mismo que usar el comando COPY con un dispositivo LPT o PRN. El resultado de la "copia" es una impresión en papel.

En concreto, el gusano envía basura a las colas de impresión. Esto no solo ha ocasionando múltiples atascos e inconvenientes, sino que ha creado innumerables problemas, sobre todo en administradores de redes de gran tamaño.

Cada una de las máquinas infectadas intenta infectar toda impresora que esté compartida en la red. Detener esta catarata de impresoras escupiendo basura al papel, y saturando los spools, ha producido grandes dolores de cabeza, sobre todo cuando no se sabía aún que la causa era el Bugbear.

Una de las consultas que más nos han hecho sobre este tema, ha sido la de como detener esta acción. La respuesta es simple, eliminar el gusano. Sin embargo, en varios casos, esto parecía no funcionar. La razón es que el virus aún seguía activo, o no se habían reseteado todas las colas de impresión. Y es muy importante desconectar cada PC de la red, físicamente, antes de proceder a su limpieza individual. Es la única forma de asegurarnos de tener éxito.

Y por supuesto, de nada vale hacer eso si luego no aplicamos una política estricta al manejar el correo (no abrir NINGUN adjunto no solicitado, deshabilitar las vistas previas del Outlook, actualizar con los parches respectivos las versiones del Internet Explorer y Outlook Express).


Los anzuelos del gusano

El gusano también ha cambiado la forma de presentarse. En ocasiones, nos puede llegar en un mensaje que no se autoejecuta, pero con un texto en nuestro idioma (al azar, supuestamente tomado de documentos de la máquina infectada), que puede engañar muy bien a cualquiera, obligándolo a ejecutar el adjunto.

Estas son muestras a modo de ejemplo (no deben tomarse más que como ejemplos, ya que tanto el remitente, asunto, texto y nombre del adjunto varían en cada envío, haciendo más difícil desechar el mensaje antes de abrirlo):

Ejemplo 1:

De: [usuario infectado]
Fecha: Miércoles, 02 de Octubre de 2002 14:00
Para: Ninguno
Asunto: Club de Leones San Lorenzo Chile-Medio ambiente
Adjuntar: bd1.mdb.scr (50,8 Kb)

Estimado Jaime,

De acuerdo a lo conversado telefonicamente, queremos efectuar nuestra = =FAltima gesti=F3n en favor de la protecci=F3n del medio ambiente como Club de = Leones San Lorenzo; por tal motivo estamos pensando entregar a todos los clubes de leones del distrito T-1 Fichas T=E9cnicas, Poster a Color y otros = relacionados (similar a lo que hicimos con el proyecto seguridad es

Ejemplo 2:

De: [usuario infectado]
Fecha: Jueves, 03 de Octubre de 2002 06:22
Para: Ninguno
Asunto: LLI - Foro: Las teorias de la conspiracion
Adjuntar: claves de la compu.txt.pif (50,8 Kb)

Estimados amigo:

Cree usted que detras del 11 de septiembre hay gato encerrado?
Esperamos su opinion en el foro 'Bin Laden, Bush, y las teorias de la conspiracion', en POLITICA INTERNACIONAL.

http://www.xxxxxxxxxxxx.com/enlinea2.asp?sec=xxxx

Ejemplo 3:

De: [usuario infectado]
Fecha: Miércoles, 02 de Octubre de 2002 22:34:55
Para: Ninguno
Asunto: Iniciar un Cambio
Adjuntar: Cultura-contin.doc.scr (50,8 Kb)

Att:[nombre]
PRESENTE

En estos momentos el desafio es aumentar las ingresos, pero como lo hacemos?

La competencia es feroz, hay que idear nuevas y mejores estrategias para llegar al mercado y a los 


Tanto el tema de las "impresoras infectadas" como el de adjuntos que no se autoejecutan, más que una característica premeditada, parece tratarse de errores o descuidos durante la programación del gusano.

Cómo lo puede ser el uso erróneo de algunas etiquetas MIME (la vulnerabilidad que permite que un adjunto se ejecute sin necesidad de abrir el adjunto), que hace que en ocasiones eso no ocurra. Por ejemplo:

Content-Type: audio/x-midi; (Se autoejecuta)
Content-Type: application/x-msdownload;
(No se autoejecuta)


Las teclas que apretamos

Otro síntoma de la infección en sistemas con Windows en español, es la reiteración del tilde cuando se pretende poner un acento: 

Por ejemplo, al querer escribir: "infección", aparece "infecci´´on"

El gusano, también interrumpe las conexiones a Internet cuando se intentan ciertas acciones.

Luego de diversas pruebas, hemos notado que la tarea de eliminar el gusano con la herramienta de BitDefender desde Windows, con el gusano activo, crea numerosos problemas, en los que en ocasiones parece que el virus literalmente estuviera jugando con nosotros, por lo que aconsejamos hacerlo siempre en modo a prueba de fallas. Todo ello se explica en la actualización que hemos hecho del método de limpieza.

De todos modos, recordamos que dicha herramienta debe aplicarse luego de reiniciar, con la computadora desconectada de la red, y se debe reiterar el escaneo un par de veces antes de reiniciar y volver a usar dicha herramienta.

Luego de una limpieza por ese método, generalmente no es necesario reinstalar ningún programa, no siquiera los antivirus.


Herramienta para quitar el W32/Bugbear.A de un sistema infectado

La herramienta AntiBugBear-ES de BitDefender, limpia el virus de un sistema infectado, además de restablecer los cambios realizados en la configuración del sistema.

Descargue AntiBugBear-ES.exe del siguiente enlace y proceda a ejecutarlo en su PC, siguiendo las indicaciones de "Reparación manual (actualizada 2/oct/02)".

Descarga directa:
http://www.videosoft.net.uy/AntiBugBear-ES.exe (57 Kb)

Más información:
http://www.bitdefender-es.com/html/tools_gratis.php


Reparación manual (actualizada 2/oct/02)

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus y F-Prot con las últimas definiciones, luego reinicie Windows desde disquetes y ejecute F-Prot, como se explica aquí:

Cómo ejecutar F-PROT desde disquetes
http://www.vsantivirus.com/fprot-disq.htm

2. Reinicie en modo a prueba de fallos como se indica aquí:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute la herramienta de BitDefender (AntiBugBear-ES.exe) descargada antes.

3. Borre los archivos detectados como infectados

4. Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.

5. Borre también los mensajes electrónicos recibidos con el gusano.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Actualizar Internet Explorer

Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo:

Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

O instale el IE 6.0, Service Pack 1 (SP1):

Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Más información:

W32/Bugbear.A (Tanatos), un gusano de rápida propagación
http://www.vsantivirus.com/bugbear-a.htm

Lo que usted más se pregunta sobre el Bugbear
http://www.vsantivirus.com/faq2-bugbear.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS