|
VSantivirus No. 2064 Año 10, sábado 4 de marzo de 2006
Bagle.FO. Gusano de Internet y caballo de Troya
http://www.vsantivirus.com/bagle-fo.htm
Nombre: Bagle.FO
Nombre NOD32: Win32/Bagle.FO
Tipo: Gusano de Internet y caballo de Troya
Alias: Bagle.FO, Win32/Bagle.FO
Fecha: 3/mar/06
Plataforma: Windows 32-bit
Tamaño: 20 KBytes
Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer".
El primero es un "downloader", un troyano que probablemente es enviado en forma de spam, y que descarga otro de los componentes del gusano, un segundo downloader.
Cuando el segundo downloader se ejecuta, descarga un archivo de una dirección predeterminada de Internet, y lo almacena en la carpeta del sistema con un nombre al azar, para luego ejecutarlo.
Este archivo (el "mass-mailer"), se encarga de propagar al gusano a través de mensajes de correo electrónico.
Para ello, primero obtiene direcciones de archivos de la máquina infectada que tengan las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Al hacer esto, evita aquellas direcciones cuyos nombres contengan las siguientes cadenas:
@avp.
@foo
@hotmail
@iana
@messagelab
@microsoft
@msn
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
Los mensajes enviados tienen las siguientes características:
De: [remitente falso]
Asunto: [uno de los siguientes]
- Call to your lawer immidiately
- Lawsuit against you
- Pay your debts before we come to you
- We wait your response.
Texto del mensaje: [uno de los siguientes]
Ejemplo 1:
LAWSUIT AGAINST YOU (ATTACHMENT HAS MORE INFORMATION)
1550 Peachtree Street
Atlanta, GA 30309
To Whom It May Concern:
Enclosed is a copy of the lawsuit that I filed against
you in (my county) court on March 22, 2001. Currently the
Pretrail Conference is scheduled for April 10th, 2001 at
9:30 A.M. in courtroom #33. The case number is (insert
case #).
The reason the lawsuit was filed was due to a completely
inadequate response from your company. When someone is
the victim of identity theft, it is simply a nightmare
trying to get false information removed from a credit
file. I have contacted all of the false creditors listed
on my credit file. I have challenged all of the false
listings on my credit file. Nothing ever happens to fix
the situation.
Over 90 days ago I wrote each the creditors in question
and demanded proof that I am their customer. I asked for
proof of the alleged debt, including specifically the
alleged contract or other instrument bearing my
signature. So far none of them has been able to provide
such proof to me. I have sent follow-up letters to each
of them and there is still no proof. I have attempted
phone contact, but I simply get transferred around and
nothing ever gets accomplished.
I have fully investigated my rights in this matter. Under
the doctrine of estoppel by silence, Engelhardt vGravens
(Mo) 281 SW 715, 719, I may presume that no proof of the
alleged debt, nor therefore any such debt, in fact
exists. I have copies of the certified letters and dates
prepared to bring to court on April 10th. Also, under the
Fair Credit Reporting Act, these disputed items may not
appear on my credit report if they cannot be supported by
any evidence.
Under the Fair Credit Reporting Act, if they cannot
verify the debt within 30 days, then it must be removed.
Your letters to me claim to have ?verified? the debt, but
this is in fact not true under law. Simply contacting the
alleged creditor and asking them to match up numbers in
their database is no sufficient verification for identity
theft. Of course the information matches up. Someone
clearly used my information without my authorization.
Now I am suing Equifax for being such a pain in the
posterior to me. I have provided more than sufficient
evidence to get these false accounts removed.
You may contact me before April 10th at (my phone number)
or at my address listed at the top of this letter. This
matter can be settled simply by your agreement to remove
the false information from my credit file.
I require a response, on point, in writing, hand signed,
and in a timely manner. If I get another pointless letter
from you saying that it has already been ?verified? then
there will be no more opportunity for negotiation. This
will proceed in court until I have successfully proven to
a judge that this false information must be removed from
my credit file. I will also be aggressively pursuing the
full judgment that I can get against Equifax for
violation of the Fair Credit Reporting Act and
Defamation.
Ejemplo 2:
LAWSUIT AGAINST YOU (CLICK TO ATTACHED DOCUMENT FOR MORE
INFORMATION)
To Whom It May Concern:
On 02, 2006, you sent a facsimile (the Fax) to my
facsimile machine that is connected to my telephone
number 678-5713-1571. A copy of your Fax is ENCLOSED IN
ATTACHMEN. The Fax is an advertisement for the commercial
availability or quality of property, goods, or services.
You sent your Fax to me without my prior express
invitation or permission. You and I have never had an
established business relationship.
A federal law enacted in 1991 called the Telephone
Consumer Protection Act (the Act) provides that -It shall
be unlawful for any person within the United States . . .
to use any telephone facsimile machine, computer, or
other device to send an unsolicited advertisement to a
telephone facsimile machine. 47 U.S.C. § 227(b)(1). The
federal law also provides that - A person or entity may
. . . bring in an appropriate court . . . an action . . .
to receive $500 in damages for each such violation . . .
. If the court finds that the defendant willfully or
knowingly violated this subsection or the regulations . .
. ., the court may triple the damage award. See 47 U.S.C.
§ 227(b)(3) (emphasis added).
By sending the Fax to me, you violated 47 U.S.C. § 227(b)
(1) and are now liable to pay damages to me of not less
than $500 under 47 U.S.C. § 227(b)(3). I believe you
willfully or knowingly violated the Act, which would make
you liable to pay me $1,500. I am willing to waive my
right to seek damages of $1,500 and will agree not to
file a 47 U.S.C. § 227(b)(1) lawsuit against you if you
pay me $500 on or before April , 2006.
If you do not pay me $500 by the deadline for payment, I
intend to sue you in Nyew-York, NY, for violating the
Telephone Consumer Protection Act. If you force me to sue
you, I will not settle for less than $1,000 and will seek
triple damages of $1,500. I also demand that you
immediately cease and desist from sending any facsimiles
to me in the future.
For information about the Act, see the article entitled -
Junk Fax Law - the Telephone Consumer Protection Act of
1991,- which can be viewed on the internet at
http: // www .keytlaw .com/ faxes/ junkfaxlaw.htm. This
article contains links to the complete statute, the
federal regulations interpreting the Act, several junk
fax articles and articles on a recent class action
lawsuit called Nicholson v. Hooters of Augusta, Inc.,
(Richmond County, Georgia, Superior Court case number 95-
RCCV-616). Hooters hired a fax service that sent six
unsolicited junk faxes to each of 1,321 fax numbers. In
April of 2001, the court ordered Hooters to pay treble
damages of $11,889,000.
I am sending you a copy of this letter by regular first
class mail in case you refuse to accept the certified
mail, return receipt requested version of this letter.
Ejemplo 3:
LAWSUIT AGAINST YOU (CLICK TO ATTACHED DOCUMENT FOR MORE
INFORMATION)
Tucker's Fix-It-Quick Garage
9938 Main St.
Chicago, IL 61390
Dear Mr. Tucker,
On Feb 21, 2006, I took my car to your garage for
servicing. Shortly after picking it up the next day, the
engine caught fire because of your failure to properly
tighten the fuel line to the fuel injector. Fortunately,
I was able to douse the fire without injury to myself.
As a direct result of the fire, I paid the ABC garage
$681 for necessary repair work. I enclose a copy of their
invoice.
In addition, as a direct result of the fire, I was
without the use of my car for three days and had to rent
a car to get to work. I enclose a copy of an invoice for
the rental cost of $145.
In a recent phone conversation, you claimed that the fire
wasn't the result of your negligence and would have
happened anyway. You also claimed that, even if it was
your fault, I should have brought my car back to your
garage so you could have fixed it at a lower cost.
As to the first issue, Peter Klein of the ABC Garage is
prepared to testify in court that the fire occurred
because the fuel line was not properly connected to the
fuel injector.
Second, I had no obligation to return the car to you for
further repair. I had the damage you caused repaired at a
commercially reasonable price and am prepared to prove
this with several higher estimates by other garages.
Please send me a check or money order for $826 on or
before July 15. If I don't receive payment by that date,
I'll promptly file this case in small claims court.
You may reach me during the day at 555-2857 or in the
evenings until 10 p.m. at 555-8967.
Sincerely,
Marsha Rizzoli
En ocasiones, los textos anteriores agregan lo siguiente:
++++ Attachment: No Virus found
++++ Norton AntiVirus - www .symantec .com
Datos adjuntos: [uno de los siguientes archivos]
documents.exe
explanation.exe
lawsuit.exe
Cuando el adjunto es abierto por el usuario y ejecutado, el mismo se copia en el sistema con el siguiente nombre:
c:\windows\system32\win32lib.exe
También se crean los siguientes archivos:
c:\windows\vcremoval.dll
c:\windows\system32\win32lib.exeopen
c:\windows\system32\win32lib.exeopenopen
VCREMOVAL.DLL es un archivo de texto, que contiene las direcciones electrónicas recogidas por el gusano en la máquina infectada, las que luego utiliza para propagarse enviando los mensajes infectados.
NOTA 1: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
NOTA 2: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
Para autoejecutarse en cada reinicio del sistema, crea la siguiente entrada en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
win_shell = "c:\windows\system32\win32lib.exe"
Para propagarse por redes P2P, el gusano se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", con uno de los siguientes nombres de archivos:
Adobe Photoshop 9 full.exe
Ahead Nero 10.exe
anna benson sex video.exe
barrett jackson nude photos, movies, porn video.exe
Britney Spears sex photos.exe
IE beta 7.exe
jenna elfman sex anal deepthroat.exe
kate beckinsale nude pictures.exe
miss america Porno, sex, oral, anal cool, awesome!!.exe
paris hilton Porno pics arhive, xxx.exe
Porno Screensaver.scr
Serials 2005 database.exe
Serials.txt.exe
Windown Vista Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
El "downloader" contiene una lista de direcciones de Internet desde donde descargará otros archivos (puerto TCP 80).
Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
Información adicional
Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|