Mostrando mensaje 27     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 978 - Año 7 - Miércoles 12 de marzo de 2003 Fecha: Miercoles, 12 de Marzo, 2003  12:20:14 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 978 - Año 7 - Miércoles 12 de marzo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - El retorno de CodeRed 2 - Worm.W32/CodeRed.F. ¡Funciona hasta el año 34951! 3 - Evitar virus de propagación masiva en servidores ISS 4 - W32/Yaha.Q, R. Envío masivo de correo infectado _____________________________________________________________ 1 - El retorno de CodeRed _____________________________________________________________ http://www.vsantivirus.com/12-03-03.htm El retorno de CodeRed Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Ha sido reportada la reaparición de este gusano, tristemente recordado por los serios problemas y pérdidas monetarias causadas en agosto de 2001 cuando se hiciera público por primera vez. Se trata de una variante que en realidad solo posee 2 únicos bytes de diferencia en relación al CodeRed II, que a su vez fuera la segunda variante importante del CodeRed original. Cómo su antecesor, se aprovecha de un conocido fallo de seguridad de desbordamiento de búfer (buffer overflow), en los servidores Web IIS de Microsoft para propagarse. Para ello, modifica además algunos parámetros del sistema. De la misma forma que una de las últimas versiones del CodeRed original, esta variante descarga un caballo de Troya del tipo backdoor (acceso por la puerta trasera), que compromete gravemente la seguridad total del sistema dejándolo vulnerable al accesos no autorizado de usuarios con malas intenciones. Aquellos operadores de Internet que utilicen Microsoft IIS Server como servidor de sus sitios, deberían verificar en forma urgente la instalación de los últimos parches y actualizaciones de seguridad publicados por Microsoft. www.microsoft.com/technet/security/bulletin/MS01-033.asp www.microsoft.com/technet/security/bulletin/MS01-044.asp www.microsoft.com/technet/security/bulletin/MS00-052.asp * Referencias CodeRed. Un gusano en la memoria de los servidores http://www.vsantivirus.com/codered.htm En 1988 fue el Morris. ¿En el 2001 es el CodeRed? http://www.vsantivirus.com/morris-codered.htm CodeRed se transforma y se hace más peligroso http://www.vsantivirus.com/codered2.htm CodeRed volvió y seguimos vivos... pero... http://www.vsantivirus.com/02-08-01.htm CodeRed. La tercera versión del gusano examinada a fondo http://www.vsantivirus.com/codered3.htm Aparece nueva variante del CodeRed con puerta trasera http://www.vsantivirus.com/05-08-01.htm Hotmail, el correo de Microsoft, víctima del CodeRed http://www.vsantivirus.com/09-08-01.htm CodeRed. Un cuento de llaves y cerraduras http://www.vsantivirus.com/06-08-01.htm El domingo se activa la próxima fase del CodeRed original http://www.vsantivirus.com/17-08-01.htm ¿Quienes son los autores del CodeRed y del SirCam? http://www.vsantivirus.com/10-08-01.htm Otra variante del CodeRed (CodeRed.E) http://www.vsantivirus.com/codered4.htm La de Corea, no es una nueva versión del CodeRed http://www.vsantivirus.com/12-08-01.htm CodeRed revela un nuevo agujero de seguridad en IIS http://www.vsantivirus.com/14-08-01.htm La historia secreta de Microsoft y el CodeRed http://www.vsantivirus.com/11-08-01.htm ¿Virus benignos?. El CodeRed prueba de su propia medicina http://www.vsantivirus.com/07-09-01.htm Resurge la primera versión del CodeRed http://www.vsantivirus.com/ig-17-10-01.htm La aplicación de parches y el nuevo virus CodeRed http://www.vsantivirus.com/vulms01-040-041.htm FBI frustra intento de propagar nueva versión del CodeRed http://www.vsantivirus.com/31-08-01.htm CodeRed se despide de su vida activa http://www.vsantivirus.com/04-10-01a.htm CodeRed también afecta impresoras y ruteadores http://www.vsantivirus.com/24-08-01.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Worm.W32/CodeRed.F. ¡Funciona hasta el año 34951! _____________________________________________________________ http://www.vsantivirus.com/codered-f.htm Nombre: Worm.W32/CodeRed.F Tipo: Gusano de Internet Alias: CodeRed.F, Win32.CodeRed.F Plataforma: Windows 32-bit Fecha: 12/mar/03 Esta variante, libera un programa del tipo backdoor en el servidor infectado, dándole el control total de éste a un atacante, lo que compromete gravemente la seguridad de todo el sistema. La única diferencia con las versiones anteriores, son dos bytes que representan la fecha tope de funcionamiento. CodeRed, CodeRed II y CodeRed C, solo funcionaban si el año era menor de 2002 (o sea, hasta el 31 de diciembre de 2001). Esta nueva versión funciona siempre (o al menos hasta el 31 de diciembre de 34951). ¡Si, treinta y cuatro mil novecientos cincuenta y uno!! El gusano no representa un riesgo para usuarios de Windows 95, 98, y Me. Los usuarios de Windows NT y 2000, solo deberían preocuparse si poseen una instalación de Microsoft IIS Web Server ejecutándose en sus computadoras. El gusano se propaga a través de conexiones TCP/IP al puerto 80 (http), instalándose a si mismo en servidores Web seleccionados al azar, utilizando para ello un conocido bug que afecta los servidores Microsoft IIS que no han sido actualizados con el parche que cierra dicha vulnerabilidad. Cómo sus antecesores, este gusano explota una vieja vulnerabilidad en el archivo IDQ.DLL, de los servidores Microsoft IIS 5.0 (ver "Vulnerabilidad en las extensiones ISAPI en IIS (MS01-033), http://www.vsantivirus.com/vulms01- 033.htm). Esta falla permite, mediante el aprovechamiento de un desbordamiento de búfer, la ejecución de código capaz de tomar el control del servidor web, a través de las extensiones ISAPI. Cuando un servidor es infectado, el gusano intercepta en la memoria, los procesos del kernel de Windows (solo Windows NT y 2000 son afectados). A través de llamadas al proceso GetProcAddress del KERNEL32.DLL, el virus accede a una serie de APIs: LoadLibraryA CreateThread .. .. GetSystemTime También carga el archivo WS2_32.DLL para acceder a las funciones socket, closesocket y WSAGetLastError. Utiliza además la función ExitWindowsEx de USER32.DLL para reiniciar el sistema. El thread (hilo) principal examina la existencia de dos posibles marcas. La primera (29A), controla si está instalado o no el troyano "Trojan.VirtualRoot". La otra marca actúa como semáforo y se llama "CodeRedII". Si este semáforo existe, el gusano entra en un bucle infinito. Luego, el mismo thread examina el lenguaje por defecto del sistema operativo. Si este lenguaje es el chino tradicional o chino simplificado, entonces crea 600 nuevos threads. Si el lenguaje es cualquier otro, crea 300 hilos. Todos estos threads generan direcciones IP al azar, y son las que usará para buscar en Internet, nuevos servidores a infectar. Cómo en la tercera versión del CodeRed, la forma de generar estas direcciones está mucho más optimizada y es mucho más eficiente que en las versiones anteriores (I y II). Si las IP generadas equivalen a sistemas locales (127.x.x.x, 224.x.x.x, etc.), no las usará, y generará nuevas IP a cuyas máquinas intentará conectarse para poder infectarlas. Se piensa que esto generará más tráfico que las versiones anteriores, comprometiendo el funcionamiento de todo Internet. Al mismo tiempo que estos threads están trabajando, el thread principal copia el shell de comandos de Windows, CMD.EXE, ubicado en el directorio de sistema de Windows (c:\winnt\system32\cmd.exe), a los siguientes directorios, si estos existen, pero con el nombre de ROOT.EXE: c:\inetpub\scripts\root.exe d:\inetpub\scripts\root.exe c:\progra~1\common~1\system\MSADC\root.exe d:\progra~1\common~1\system\MSADC\root.exe Si el troyano es liberado por el gusano, se modifica la siguiente entrada del registro (cómo se verá más adelante): HKLM\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\Virtual Roots Esto habilita a un atacante externo, tomar el control total del servidor Web a través del envío de solicitudes HTTP GET, para ejecutar el archivo SCRIPTS/ROOT.EXE en el servidor infectado. El proceso principal se mantiene luego dormido por 48 horas si el lenguaje del sistema es el chino, y 24 en caso contrario. Durante ese periodo, los restantes hilos (300 o 600 según la versión del idioma de Windows), continuarán trabajando, e intentarán infectar otros equipos. Una vez que el periodo de 24 o 48 horas se cumple, el gusano procede a reiniciar la computadora infectada. Además de esto, los demás threads examinan si el año es menor de 34952, o si el mes actual es menor de 10 (octubre). Si es mayor, procede a reiniciar el sistema. El gusano copia el shell de comandos (CMD.EXE) al directorio de ejecución habilitado por defecto en el servidor, permitiendo el control remoto de este. También genera en el raíz de las unidades C: o D:, un archivo llamado EXPLORER.EXE, con los atributos de oculto, de sistema y solo lectura. Este archivo es el troyano identificado como Trojan.VirtualRoot (W32/CodeRed.trojan). El gusano trae este archivo en su propio código, en un formato comprimido, y lo descomprime al copiarlo en la máquina infectada. La infección durará 24 o 48 horas, y luego de ese tiempo, la PC será reiniciada. Pero la misma máquina podrá ser infectada nuevamente, mientras no se instale el parche mencionado. Si el mes es octubre, o el año 34952, la computadora también podrá ser reiniciada. Cada vez que esto ocurre, se ejecuta el troyano Trojan.VirtualRoot cada vez que el sistema necesita ejecutar el legítimo EXPLORER.EXE (escritorio, barra de tareas, etc.). Debido a la prioridad en la búsqueda del ejecutable en los paths de Windows, éste ejecutará antes el falso EXPLORER.EXE en el raíz de C (o D). Esta vulnerabilidad conocida de Windows, recibe el nombre de "Relative Shell Path Vulnerability". Cuando el troyano se activa (C:\EXPLORER.EXE o D:\EXPLORER.EXE), permanece dormido unos 10 minutos, y luego setea el siguiente valor del registro para asegurarse deshabilitar el SFC (System File Checker), o Comprobador de archivos del sistema: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon SFCDisable = 0xFFFFFF9D También cambia estas entradas: HKLM\SYSTEM\CurrentControlSet\Services\W3SVC \Parameters\Virtual Roots Scripts = 217 msadc = 217 c = c:\,,217 d = d:\,,217 Estos cambios (hechos cada 10 minutos), crean un acceso web virtual (/c y /d), que corresponden a las unidades C: y D: mapeadas como tales. De esta forma, aunque se elimine el archivo ROOT.EXE (CMD.EXE) de las carpetas donde el virus lo copió, un atacante todavía tendría acceso virtual al sistema, con todo el riesgo que esto representa. Por lo tanto, con el troyano ejecutándose, cualquiera podría acceder a un sistema infectado, con instrucciones del tipo: http://IpAddress/c/inetpub/scripts/root.exe?/c+comando o http://IpAddress/c/winnt/system32/cmd.exe?/c+comando Una posible manera de verificar si su sistema está infectado, es buscar la presencia de un archivo EXPLORER.EXE en el directorio raíz de las unidades C o D. También debe verificar si en los directorios SCRIPTS y MSDAC existe un archivo ROOT.EXE. Tenga presente que la existencia de ROOT.EXE en otra ubicación, podría también ser el producto de la acción de otro virus (Sadmin por ejemplo) (ROOT.EXE en esas carpetas, en realidad es el CMD.EXE renombrado por el virus. CMD.EXE normalmente se encuentra en la carpeta WINNT\SYSTEM32 de Windows). Para quitar el gusano de un sistema infectado, simplemente reinicie el sistema para sacarlo de la memoria, luego de borrar los archivos mencionados (especialmente C:\EXPLORER.EXE). También es necesario que instale enseguida los parches que usted podrá conseguir en el sitio de Microsoft: Unchecked Buffer in Index Server ISAPI Extension http://www.microsoft.com/technet/security/bulletin/MS01-033.asp Debe tenerse en cuenta, que los filtrados utilizados para evitar la acción del CodeRed A y B, no son válidos para esta versión. La solución definitiva pasa por aplicar los parches mencionados, que por otra parte están disponibles (y ampliamente anunciados), desde junio de 2001 en Internet. También debe tenerse en cuenta, que aunque el CodeRed sea removido del sistema, y el parche instalado para evitar se repita la infección, existen posibilidades de que durante el tiempo de ejecución del troyano, este pueda haber permitido el ingreso de un atacante, lo que deja el riesgo latente de que otros troyanos o modificaciones peligrosas, hayan sido realizadas en el sistema, por lo que se sugiere un examen exhaustivo del mismo, o incluso, su reinstalación completa. Aunque el blanco son máquinas corriendo el IIS bajo Windows NT, 2000 o XP, generalmente en entornos corporativos, pueden existir innumerables usuarios particulares que ejecuten estos sistemas (incluso con IIS instalado por defecto sin su conocimiento), y que al tener acceso a Internet (vía telefónica, banda ancha, etc.), pueden ser vulnerables y estar infectados. Si usted no tiene Windows NT o 2000 como sistema operativo, no puede ser infectado. Aunque algunas instalaciones de Windows 98 contienen lo que Microsoft denomina Personal Web Server (Servidor Web Personal), que se activa, entre otras opciones, por ejemplo al instalarse el FrontPage, su presencia no representa peligro alguno para el usuario, puesto que el PWS no es afectado por el gusano. Si en cambio, su sistema operativo es Windows NT o 2000, tal vez si pueda tener instalado el IIS (aunque no lo utilice para dar acceso a terceros desde Internet). Y si además usted tiene una conexión dedicada de 24 horas a Internet, aún cuando no posea una dirección IP fija, podría tener muchas más posibilidades de generar la infección. O sea, ser infectado, e infectar desde su PC a otras computadoras. Si posee Windows 2000 o NT, y desea saber si tiene instalado el servidor IIS, verifique desde el Panel de control, Agregar o quitar programas, en la pestaña Instalación de Windows o Componentes de Windows, y busque el componente "Internet Information Server (IIS)". Si la opción está tildada, desmárquela para quitar IIS de su sistema (si no lo utiliza, claro). Si lo utiliza, descargue e instale los parches que mencionamos en este artículo. En estos casos, además de los parches, se recomienda el uso de cortafuegos personales, como ZoneAlarm, que bloqueará cualquier intento de acceso furtivo al sistema (ver http://www.vsantivirus.com/za.htm). * Remoción manual: Aplicar los siguientes parches: http://www.microsoft.com/technet/security/bulletin/ms01-033.asp http://www.microsoft.com/technet/security/bulletin/MS00-052.asp El primero arregla el fallo que permite la propagación del gusano, y el segundo el que permite la ejecución del archivo "Explorer.exe" desde el directorio raíz. Los siguientes archivos pueden ser borrados: \inetpub\scripts\root.exe \progra~1\common~1\system\MSADC\root.exe \explorer.exe Las siguientes claves del registro también pueden ser removidas (C y D): SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots \C \D Y también puede quitarse el valor "217" de estas entradas: SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots \Scripts \MSADC * Glosario: ISAPI (Interfaz de Programación de Aplicaciones del Servidor Internet), es una tecnología que permite extender las funcionalidades de Internet Information Service y es la propuesta de Microsoft de una interfaz alternativa más rápida que el CGI. Los programas escritos usando ISAPI habilitan a un usuario remoto para ejecutar un programa, buscar información dentro de una base de datos, o intercambiar información con otro software localizado en el servidor. TCP/IP (Transmission Control Protocol/Internet Protocol) - Básicamente describe dos mecanismos de software empleados para posibilitar la comunicación libre de errores entre múltiples computadoras. TCP/IP es el lenguaje común de Internet, el que permite que diferentes tipos de computadoras utilicen la red y comuniquen unas con otras, indiferentemente de la plataforma o sistema operativo que usen. Aunque menciona implícitamente solo a dos, en realidad está formado por más de 100 protocolos de comunicaciones de bajo nivel (TCP, IP, ICP, UDP, ICMP, PPP, SLIP, RARP, SMTP, SNMP, etc.). HTTP (Hypertext Transfer Protocol). Este protocolo funciona en el puerto 80 por defecto, y permite la transmisión de mensajes desde el cliente (browser) al servidor y viceversa. En la práctica, su acción más visible es la que nos permite la visualización de las páginas Web. IIS (Internet Information Server) - Es el servidor web que se instala bajo Windows 2000 Server. Index Server 2.0 - Es un programa que examina el equipo y crea catálogos que contienen un índice de elementos del sistema de archivos e información acerca de sus propiedades. El programa se ejecuta periódicamente para actualizar los catálogos. Los índices se utilizan cada vez que un usuario realiza una búsqueda en los catálogos. Socket - Canal de comunicación que se abre entre un puerto de nuestra computadora y la computadora a la que nos conectamos a través de la red. * Referencias CodeRed. Un gusano en la memoria de los servidores http://www.vsantivirus.com/codered.htm En 1988 fue el Morris. ¿En el 2001 es el CodeRed? http://www.vsantivirus.com/morris-codered.htm CodeRed se transforma y se hace más peligroso http://www.vsantivirus.com/codered2.htm CodeRed volvió y seguimos vivos... pero... http://www.vsantivirus.com/02-08-01.htm CodeRed. La tercera versión del gusano examinada a fondo http://www.vsantivirus.com/codered3.htm Aparece nueva variante del CodeRed con puerta trasera http://www.vsantivirus.com/05-08-01.htm Hotmail, el correo de Microsoft, víctima del CodeRed http://www.vsantivirus.com/09-08-01.htm CodeRed. Un cuento de llaves y cerraduras http://www.vsantivirus.com/06-08-01.htm El domingo se activa la próxima fase del CodeRed original http://www.vsantivirus.com/17-08-01.htm ¿Quienes son los autores del CodeRed y del SirCam? http://www.vsantivirus.com/10-08-01.htm Otra variante del CodeRed (CodeRed.E) http://www.vsantivirus.com/codered4.htm La de Corea, no es una nueva versión del CodeRed http://www.vsantivirus.com/12-08-01.htm CodeRed revela un nuevo agujero de seguridad en IIS http://www.vsantivirus.com/14-08-01.htm La historia secreta de Microsoft y el CodeRed http://www.vsantivirus.com/11-08-01.htm ¿Virus benignos?. El CodeRed prueba de su propia medicina http://www.vsantivirus.com/07-09-01.htm Resurge la primera versión del CodeRed http://www.vsantivirus.com/ig-17-10-01.htm La aplicación de parches y el nuevo virus CodeRed http://www.vsantivirus.com/vulms01-040-041.htm FBI frustra intento de propagar nueva versión del CodeRed http://www.vsantivirus.com/31-08-01.htm CodeRed se despide de su vida activa http://www.vsantivirus.com/04-10-01a.htm CodeRed también afecta impresoras y ruteadores http://www.vsantivirus.com/24-08-01.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Evitar virus de propagación masiva en servidores ISS _____________________________________________________________ http://www.vsantivirus.com/dfm-virus-iis.htm Evitar virus de propagación masiva en servidores ISS Por David Fernández Madrid idoru@videosoft.net.uy Tras el anuncio de un fallo de seguridad en el servidor web IIS de Microsoft, el proceso lógico es que se publique o bien un exploit que aproveche ese fallo o bien un gusano. Gusanos como CodeRed o CodeBlue son capaces de infectar muchas máquinas en poco tiempo. Su rutina de infección es parecida: - Generar direcciones IP al azar (con funciones del API como GetTickCount) - Conectar con el ISS de la IP - Ejecutar el exploit Si observáramos las peticiones que hace una computadora infectada por CodeRed a otra intentando ejecutar el exploit veríamos algo así: GET /a.ida?X=[..SHELLCODE..DIRECCION DE RETORNO] HTTP/1.0 Host : 192.167.0.2 Si las comparamos con las que hace un navegador normal al acceder al mismo servidor veríamos esto: GET /a.ida HTTP/1.0 Host : server.com Notemos que como el navegador hace una consulta por nombre incluye en los datos HTTP el nombre del servidor en vez de la IP. IIS se puede configurar para que sólo acepte peticiones por nombre, no numéricas, por lo tanto puede ser un buen método para rechazar peticiones HTTP realizadas por robots o gusanos, ya que estos siempre trabajan con IPs numéricas, no con nombres. Por supuesto la primera medida ante la aparición de un exploit o de un gusano es parchear el servidor pero esto puede suponer una protección añadida contra futuras amenazas. Referencias : http://www.iisanswers.com/articles/hinders_rant.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Yaha.Q, R. Envío masivo de correo infectado _____________________________________________________________ http://www.vsantivirus.com/yaha-q-r.htm Nombre: W32/Yaha.Q, R Tipo: Gusano de Internet Alias: Yerh, W32/Lentin.M, I-Worm.Lentin.n, W32.Yaha.Q@mm, Yaha-Q, Yaha-R Fecha: 11/mar/03, 12/mar/03 Plataforma: Windows 32-bits Tamaño: 45,568 bytes (UPX), 102,400 bytes Otras variantes del W32/Yaha.A (Valentine.scr), un gusano de Internet programado en Visual C++ y comprimido con la utilidad UPX, que se propaga a través del correo electrónico a todos los contactos de la libreta de direcciones de Windows (WAB, Windows Address Book), lista de contactos de MSN Messenger y Yahoo Pager, así como a direcciones extractadas de archivos temporales y del caché de Internet (archivos HTM, HTML y HTA). La principal diferencia es un mayor poder de envío masivo (por ello, algunos antivirus lo identifican con otro nombre: Yerh). Debido a la cantidad de variantes, y al hecho de que cada antivirus ha examinado muestras en un orden diferente a como lo han hecho otras compañías, la denominación del virus varía entre fabricantes, causando confusión entre los usuarios. Estas versiones, muy parecidas entre si, son identificadas como "Q" y "R" por la mayoría de los productos antivirus, aunque otros le dan otro nombre. Esta descripción por lo tanto solo sirve como referencia. Ambas versiones están comprimidas con la utilidad UPX. El gusano utiliza su propio motor SMTP de modo que puede enviarse en mensajes infectados, sin necesidad de utilizar las facilidades de programas como Outlook, etc. Puede finalizar procesos específicos relacionados con conocidos antivirus y cortafuegos. También puede provocar ataques de denegación de servicio (D.o.S), a determinadas direcciones fijas, incluidas directamente en su código. Se propaga en mensajes creados de la siguiente manera: El campo "De:" puede ser falsificado por el gusano, de modo que rara vez indica la dirección verdadera del usuario infectado que lo envía. Incluye además, una lista de direcciones escritas directamente en su código: admin@clubjenna.com admin@codeproject2.com admin@hackers.com admin@hackers2.com admin@hackersclub.com admin@hackersclub2.com admin@kofonline2.com admin@viruswriters.com admin@zpornstars.com American Beauty av_patch@mcafee.com av_patch@norton.com av_patch@trendmicro.com Benting britneyspears.org btq@2632.com caijob@online.sh.cn Cathy Kindergarten cathy@21cn.com Clark Steel Club Jenna Codeproject Cupid cupid@freescreensavers.com Disney Int. DNA_seraph@163.com ericpan@online.com.pk Free Disney Screensavers free@hardcorescreensavers.com free@sexyscreensavers.com free@sql.library.com free@xxxscreensavers.com GC Chat Networks HACKTEQ.NET hamada@seikosangyo.com Hardcore Screensavers info@infotech.com Infocom Technologies Iori Yagami Jasmine Stevens Jaucques Antonio Barkinstein Jenna Jameson jenna@jennajameson.com Jericho John Vandervochich Jonathan Keanu Stevenson kkn@k2k.comscreensavers@nomadic.com kl@aminoprojects.com Klein Anderson KOF - The Game KOF Online Kyo Kusanagi Love Inc. love@lovescreensavers.com Lovers Inc Lovers Screensaver Lovers Screensavers loverscr@lovers.com loverscreensavers@love.com lubing@7135.com luoairong@21cn.com marketing@playstation.com marketing@sega.com marketing@suppersoccer.com marketing44@disney.biz Matrix - The Game McAfee Inc. me@me2K.com newsletters@britneyspears.org Nicolas Schwarzeneggar nics@noma.com Nomadic Screensavers Noopman Norton Antivirus OE 6 Patch Omega Rugal Paul Owen paul@kqscore2.com Playboy Inc. Playstation Plus 2 Plus 6 plus@real.com Ralph Jones Raveena Pusanova ravs@go2pussy.com Real Inc. Rocking Stone Romantic Screensavers romanticscreensavers@love.com Romeo & Juliet Ross Anderson sales@playboy.com sales@real.com sales@susoft.net samsun@online.sh.cn Screensavers of Love screensavers@lovers.com SEGA Corp. sells@haqteq.net services@tcsonline2.com Sexy Screensavers SQL Library St. Valentine stone@esterplaza.com Super Soccer super@21cn.com Susan SuSoft SCR Maker SuSoft Technologies Pvt. Ltd. Terry Bogard The Rock therock@wwe.com Trend Micro Ultimate Hackers tool unleashed.. Valentine Screensavers valentinescreensavers@t2k.com valscr@freescreensavers.com Veronica Anderson XXX Screensavers Yahoo Matchmakers yjworks@online.sh.cn Zdenka Podkapova zdenka@zpornstars.com zhouyuye@citiz.net zporNstarS Uno de los siguientes "Asuntos": 4 U only.. Alert Are you a Soccer Fan ? Are you beautiful Are you in Love Are you looking for Love Are you the BEST Check it out Check this shit check this.. Check ur friends Circle Demo KOF 2002 Feel the fragrance of Love Find a good friend Freak Out Free Demo Game Free Disney Screensavers Free rAVs Screensavers Free Screenavers of Love Free Screensavers Free Screensavers 4 U Free Win32 API source Free XXX GC Chat Networks Hardcore Screensavers 4 U Hello hey check it yaar How sweet this Screen saver I am in Love I am in Love.. I Love You I Love You.. Jenna 4 U KOF - The Game Learn How To Love Learn SQL 4 Free Let's Dance and forget pains Looking for Friendship love speaks from the heart Lovers Corner Lovers Screensaver make ur friend happy Matrix - The Game My Feelings 4 U Need a friend? Need money ?? OE 6 Patch One Hacker's Love One Virus Writer's Story Patch for Elkern.gen Patch for Klez.H Play KOF 2002 4 Free Private Documents.... Project Sample KOF 2002 Sample Playboy Sample Screensavers Say 'I Like You' To ur friend Screensavers from Club Jenna Sexy Screensavers 4 U Shake it baby SuSoft SCR Maker The Hotmail Hack The King of KOF The world of Friendship Things to note Things to note... to ur friends to ur lovers True Love U realy Want this Ultimate Hackers tool unleashed.. Visit us Wanna be a HE-MAN Wanna be friends ? Wanna be friends ?? Wanna be like a stone ? Wanna be my sweetheart ?? Wanna Brawl ?? wanna exchange.. Wanna Hack ?? Wanna Rumble ?? war Againest Loneliness We want peace Whats up Who is ur Best Friend Who is your Valentine why u send me this... World Tour Wowwwwwwwwwww check it WWE Screensavers XXX Screensavers 4 U Yahoo Matchmakers You are so sweet Como datos adjuntos, esta es una lista de posibles nombres de archivos que el gusano incluye en su código: Be_Happy.scr Beautifull.scr Best_Friend.scr Body_Building.scr Britney_Sample.scr Codeproject.scr colour_of_life.scr Cupid.scr dance.scr Demo.exe Demo.zip disney.zip FixElkern.com FixKlez.com FreakOut.exe Free_Love_Screensavers.scr Friend_Finder.exe Friend_Happy.scr friendship.scr friendship_funny.scr funny.scr GC_Messenger.exe GC_msgr.zip Hacker.scr Hacker_The_LoveStory.scr HackerTool.zip Hardcore4Free.scr hotmail_hack.exe I_Like_You.scr I_Love_You.scr Jenna_Jemson.scr King_of_Figthers.exe KOF.exe KOF_Demo.exe KOF_Fighting.exe KOF_Sample.exe KOF_The_Game.exe KOF2002.exe life.scr love.scr Love.scr LoveScr.scr LoveScr.zip make_scr.zip My_Sexy_Pic.scr MyPic.scr MyProfile.scr Notes.exe OE6.zip oe6patch.exe Peace.scr Playboy.scr Plus2.scr Plus6.scr Project.exe Ravs.scr Real.scr Romantic.scr Romeo_Juliet.scr Screensavers.scr Services.scr Setup.exe Setup.zip Sex.scrSoccer.scr Sexy_Jenna.scr shake.scr SQL_4_Free.scr Stone.scr Sweet.scr Sweetheart.scr The_Best.scr THEROCK.scr True_Love.scr up_life.scr Valentine.scr Valentines_Day.scr ValentineScr.zip VXer_The_LoveStory.scr Ways_To_Earn_Money.exe world_of_friendship.scr World_Tour.scr xxx4Free.scr zDenka.scr zXXX_BROWSER.exe Como texto del mensaje, alguno de los siguientes: ----------------------------------------------------------- Variante 1: hey, did u always dreamnt of hacking ur friends hotmail account.. finally i got a hotmail hack from the internet that really works.. ur my best friend thats why sending to u.. check it..just run it..enter victim's address and u will get the pass. ----------------------------------------------------------- Variante 2: hi, check the attached love screensaver and feel the fragrance of true love.. ----------------------------------------------------------- Variante 3: Hi, check the attached screensaver.. its really wonderfool.. i got it from freescreensavers.com ----------------------------------------------------------- Variante 4: Hi, check ur friends circle using the attached friendship screensaver.. check the attached screensaver and if u like it send it to all those you consider to be true friends... if it comes back to you then you will know that you have a circle of friends.. ----------------------------------------------------------- Variante 5: Hi, check the attached screensaver and enjoy the world of friendship.. ----------------------------------------------------------- Variante 6: Hi, are u in a rocking mood... check the attached scrennsaver and start shaking.. ----------------------------------------------------------- Variante 7 Hi, Check the attached screensaver.. ----------------------------------------------------------- Variante 8: Hi, Are you lonely ??.. check the attached screensaver and forget the pain of loneliness ----------------------------------------------------------- Variante 9: Hi, Looking for online pals.. check the attached friend finder software.. ----------------------------------------------------------- Variante 10: Hi, sending you a screensaver.. check it and let me know how it is... ----------------------------------------------------------- Variante 11: Hi, Check the attached screensaver and feel the fragrance of true love... ----------------------------------------------------------- Variante 12: Hey, I just got this wonderfull screensaver from freescreensaver.com.. Just check it out and let me know how it is.. ----------------------------------------------------------- Variante 13: Hi, I just came across it.. check out.. =========================================================== Are you one of those unfortunate human beings who are desperately looking for friends.. but still not getting true friends with whom you can share your everything.. anyway you wont feel down any more cause GC Chat Network has brought up a global chat and online match making system using its own GC Messenger. Attached is the fully functional free version of GC Instant Messenger and Match Making client.. Just install, register an account with us and find thousands of online pals all over the world.. You can also search for friends by specific country,city,region etc. Regards Admin, GC Global Chat Network System.. ----------------------------------------------------------- Variante 14: Hi, So you think you are in love.. is it true love ? you may think right now that you are in true love but it is certainly possible that it is nothing but a mere infatuation to you.. anyway to know yourself better than you have ever known check the attached screensaver and feel the fragrance of true love.. ----------------------------------------------------------- Variante 15: Hey pal, you know friendship is like a business... to get something you need to give something.. though its not that harsh as business but to get love and care from your friends you need to give love,care and respect to your friends.. right? check the attached screensaver and you will learn how to make your friends happy.. ----------------------------------------------------------- Variante 16: Hi, Its quite obvious that in our life we have numerous friends but.. BUT Best Friend can only be ONE.. right ?? so can you decide who is your best friend ?? i guess not.. cause mostly you will find that your best friend wont care about u like somebody else.. anyway i found one way to find who is my best friend.. check it.. just check the attached screensaver.. answer some questions in it and also ask your best friend to answer the questions.. ..then you will know more about him.. ----------------------------------------------------------- Variante 17: Hey pal, wanna have some fun in life... feel like life is too boring and monotonous.. check the attached screensaver and bring colours to your black & white life.. :) ----------------------------------------------------------- Variante 18: Hi, I just came across this funny screensaver.. sending it to u.. hope u like it.. check out and die laughing.. :) ----------------------------------------------------------- Variante 19: <<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>> This E-Mail is never sent unsolicited. If you receive this E- Mail then it is because you have subscribed to the official newsletter at the KOF ONLINE website. King Of Fighters is one of the greatest action game ever made. Now after the mind boggling sucess of KOF 2001 SNK proudly presents to you KOF 2002 with 4 new charecters. Even though we need no publicity for our product but this time we have decided to give away a fully functional trial version of KOF 2002. So check out the attached trial version of KOF 2002 and register at our official website to get a free copy of KOF2002 original version Best Regards, Admin,KOF ONLINE.. <<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>> ----------------------------------------------------------- Variante 20: Hello, I just came across your email ID while searching in the Yahoo profiles. Actually I want a true friend 4 life with whom I can share my everything. So if you are interested in being my friend 4 life then mail me. If you wanna know about me, attached is my profile along with some of my pics. You can check and if you like it then do mail me. I will be waiting for your mail. Best Wishes, Your Friend.. ----------------------------------------------------------- Variante 21: Hello, Looking for some Hardcore mind boggling action ? Install the attached browser software and browse across millions of paid hardcore sex sites for free. Using the software you can safely and easily browse across most of the hardcore XXX paid sites across the internet for free. Using it you can also clean all traces of your web browsing from your computer. Note:The attached browser software is made exclusivley for demo only. You can use the software for a limited time of 35 days after which you have to register it at our official website for its furthur use. Regards, Admin. ----------------------------------------------------------- Variante 22: Klez.H is the most common world-wide spreading worm.It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it. We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC ----------------------------------------------------------- Variante 23: Hello, The attached product is send as a part of our official campaign for the popularity of our product. You have been chosen to try a free fully functional sample of our product.If you are satified then you can send it to your friends. All you have to do is to install the software and register an account with us using the links provided in the software. Then send this software to your friends using your account ID and for each person who registers with us through your account, we will pay you $1.5.Once your account reaches the limit of $50, your payment will be send to your registration address by check or draft. Please note that the registration process is completely free which means by participating in this program you will only gain without loosing anything. Best Regards, Admin, ----------------------------------------------------------- Variante 24: Hey listen pal, I am in big trouble.. Plz help me.. Check attached document.. ----------------------------------------------------------- Variante 25: hi plz check the attached document.. and contact me as soon as possible.. ----------------------------------------------------------- Variante 26: hi check this.. ----------------------------------------------------------- Variante 27: wanna exchange.. I really like ur gift check the attached document.. ----------------------------------------------------------- Variante 28: u shit... why the hell u send this to me.. i am returning ur document.. ----------------------------------------------------------- Variante 29: I think u are in love... check the attached file.. Play the game of love.. ----------------------------------------------------------- Variante 30: Plz check the attachment and plz dont be angry one me.. ----------------------------------------------------------- Variante 31: ur system is infected with W32/Yaha.K use the attached patch to disinfect... ----------------------------------------------------------- Variante 32: hey pal I want to share a secret with u.. Check the attached document.. ----------------------------------------------------------- Variante 33: Hi dear... checked the attached document.. ----------------------------------------------------------- Variante 34: Attached is the Patch for OE 6 invalid MIME content vulnerability. This vulnerability may allow an attacker to execute any file without being opened.. Please use the attached program to patch up your system... ----------------------------------------------------------- Variante 35: Hello, Attached is a set of hacking utilities developed by our programmers. We are distributing it freely for evolution purpose... ----------------------------------------------------------- Variante 36: Hi Check the attached Valentine Screensaver... ----------------------------------------------------------- Variante 37: Hi Check the attached Lovers Screensaver... ----------------------------------------------------------- Variante 38: =========================================================== Are you one of those unfortunate human beings who are desperately looking for friends.. but still not getting true friends with whom you can share your everything.. anyway you wont feel down any more cause GC Chat Network has brought up a global chat and online match making system using its own GC Messenger. Attached is the fully functional free version of GC Instant Messenger and Match Making client.. Just install, register an account with us and find thousands of online pals all over the world.. You can also search for friends by specific country,city,region etc. Regards Admin, GC Global Chat Network System.. ----------------------------------------------------------- Variante 39: <<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>> This E-Mail is never sent unsolicited. If you receive this E- Mail then it is because you have subscribed to the official newsletter at our offical website. King Of Fighters is one of the greatest action game ever made. Now after the mind boggling sucess of KOF 2001 SNK proudly presents to you KOF 2002 with 4 new charecters. Even though we need no publicity for our product but this time we have decided to give away a fully functional trial version of KOF 2002. So check out the attached trial version of KOF 2002 and register at our official website to get a free copy of KOF2002 original version Best Regards, Admin,KOF ONLINE.. <<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>> ----------------------------------------------------------- El gusano obtiene las direcciones a las que se envía de la libreta de Windows (WAB), todos los contactos, caché de Messenger, Yahoo Pager, páginas Web, etc. Cuando se ejecuta el adjunto, el gusano se copia en la carpeta System de Windows, varias veces, con los siguientes nombres: c:\windows\system\mstask32.exe c:\windows\system\exeLoader.exe En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Se modifica el registro, para hacer que el gusano se autoejecute en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run MicrosoftServiceManager = [archivo del gusano] HKLM\Software\Microsoft\WindowsCurrentVersion\RunServices MicrosoftServiceManager = [archivo del gusano] También modifica las siguientes claves: HKEY_CLASSES_ROOT\exefile\shell\open\command (Predeterminado) = "C:\Windows\System\exeLoader.exe "%1" %*" Esto hace que se ejecute el virus cada vez que una aplicación ejecutable es llamada por el sistema. Esto dificulta la limpieza del virus, ya que cualquier programa que se ejecute, incluido el antivirus, lanza al gusano en memoria. "C:\Windows\System\exeLoader.exe" representa el nombre y ubicación del ejecutable del gusano una vez que se instaló en nuestro PC. En principio suele ser el que se indica, pero podría ser alguno de las otras copias del gusano. El gusano libera también el archivo TASKMGR32.DLL: c:\windows\system\taskmgr32.dll También agrega las siguientes claves en el registro: HKEY_LOCAL_MACHINE\Software\Microsoft WinVer Snakes Para chequear su propia presencia en memoria y evitar volver a ejecutarse si ya está activo, el gusano crea el MUTEX llamado "SPAWNER". El gusano intenta acabar con la ejecución de una larga lista de programas de seguridad, como antivirus, cortafuegos, etc., matando en memoria los procesos que contengan cualquiera de las siguientes cadenas: _AVP32 _AVPCC _AVPM ACKWIN32 ALERTSVC AMON.EXE ANTI-TROJAN ANTIVIR APVXDWIN ATRACK AUTODOWN AVCONSOL AVGCTRL AVKSERV AVP.EXE AVP32 AVPCC.EXE AVPM.EXE AVSCHED32 AVSYNMGR AVWUPD32 BLACKD BLACKICE CFIADMIN CFIAUDIT CFINET CFINET32 CLEANER ECENGINE ESAFE.EXE ESPWATCH F-AGNT95 FINDVIRU F-PROT95 FP-WIN FRW.EXE F-STOPW IAMAPP IAMSERV.EXE IBMASN IBMAVSP ICMON IOMON98 LOCKDOWN2000 LOCKDOWNADVANCED LUALL LUCOMSERVER MCAFEE MOOLIVE MPFTRAY MSNMSG32REGEDIT N32SCANW NAV32_LOADER NAVAPSVC NAVAPW32 NAVLU32 NAVNT NAVRUNR NAVW32 NAVWNT NISSERV NISUM NMAIN NOD32 NORTON NPSSVC NRESQ32 NSCHED32 NSCHEDNT NSPLUGIN NUPGRADE NVC95 PADMIN PAVSCHED PCCIOMON PCCMAIN PCCWIN98 PCFWALLICON PERSFW POP3TRAP PVIEW PVIEW95 REGEDIT RESCUE32 RMVTRJANSAFEWEB SCAM32 SCAN32 SIRC32 SPHINX SWEEP95 SYMPROXYSVC SYSHELP.EXE TBSCAN TCPSVS32 TDS2- TDS2-98 TDS2-NT VET95 VETTRAY VSECOMR VSHWIN32 VSSTAT WEBSCANX WEBTRAP WFINDV32 WINGATE.EXE WINMGM32.EXE WINSERVICES ZONEALARM También intenta cerrar cualquier ventana con alguno de los siguientes títulos: Network Propagation Process Viewer Registry Editor System Configuration Utility Windows Task Manager El gusano busca en las siguientes carpetas de las unidades compartidas en red, el archivo WIN.INI: WIN WIN95 WIN98 WINDOWS WINME WINNT WINXP Si lo encuentra, modifica su contenido agregando las siguientes líneas bajo la etiqueta [windows]: [windows] run=REG32.EXE Luego, el gusano se copia a si mismo como REG32.EXE en el mismo directorio donde se encuentre WIN.INI. Busca en las unidades de red por la siguiente carpeta, y se copia en ella con el nombre de "MSRegScanner.exe": Documents and Settings\All Users\Start Menu\Programs\Startup Finalmente, agrega la siguiente clave en el registro: HKLM\Software\Microsoft\Windows\CurrentVersion ZoneCheck = [aquí uno de los siguientes sitios:] pakistan.gov.pk paki.com pcb.gov.pk comsats.com kse.com.pk Luego, cada pocos segundos, envía peticiones HTTP al sitio seleccionado, intentando un ataque de denegación de servicio (D.o.S) contra dicho Web. El gusano libera también un archivo de texto con nombre al azar, de cinco variantes posibles, todas diferentes, en el directorio de Windows. Estos textos contienen diferentes dedicatorias (incluso a compañías antivirus), y comienzan casi todos con las siguientes líneas: iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00 wE aRe tHe gREaT inDIaNs * Para eliminar el virus de un sistema infectado 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados * Modificación del registro Es necesario renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al gusano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal. 1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.exe Regedit.com Si Windows no está instalado en "C:\Windows", debe cambiar esta referencia (Ej.: "C:\Nombre\Regedit.exe", etc.). 2. Desde Inicio, Ejecutar, teclee "Regedit.com" y pulse Enter 3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \exefile \shell \open \command 4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como: (Predeterminado) = "C:\Windows\System\exeLoader.exe "%1" %*" 5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el cargador: (C:\Windows\System\exeLoader.exe) y dejar solo esto (comillas, porcentaje, número uno, comillas, espacio, porcentaje, asterisco): (Predeterminado) = "%1" %* 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). 8. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.com Regedit.exe Si windows no está instalado en "C:\Windows", debe cambiar esta referencia (ej.: "C:\Nombre\Regedit.com", etc.). 9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 10. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: MicrosoftServiceManager 11. Repita los pasos 9 y 10 (pinchando en "RunServices") con la siguiente rama del registro: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft 13. Pinche en la carpeta "Microsoft" y busque y borre las siguientes entradas: WinVer Snakes 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion 15. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha busque y borre las siguientes entradas: ZoneCheck 16. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 17. Con el explorador de Windows, busque y borre el archivo "MSRegScanner.exe" de la siguiente carpeta (solo Windows 2000 y XP): Documents and Settings\All Users\Start Menu\Programs\Startup\ 18. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 19. Busque lo siguiente: [windows] run=REG32.EXE Debe quedar como: [windows] run= 20. Grabe los cambios y salga del bloc de notas. 21. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). 22. Ejecute uno o más antivirus actualizados. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 978 - Año 7 - Miércoles 12 de marzo de 2003