Mostrando mensaje 108     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1059 Año 7, Domingo 1 de junio de 2003 Fecha: Domingo, 1 de Junio, 2003  01:09:26 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1059 Año 7, Domingo 1 de junio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Falla en iPlanet deja vulnerables a usuarios de Terra 2 - Fallo de seguridad en El Corte Inglés Online 3 - W32/Sobig.C. Remitente: "bill@microsoft.com" 4 - W32/Auric.B. Modifica apariencia y detiene antivirus 5 - W32/Auric.C. Variante preparada para Win NT, 2000 y XP _____________________________________________________________ 1 - Falla en iPlanet deja vulnerables a usuarios de Terra _____________________________________________________________ http://www.vsantivirus.com/vul-iplanet-terra.htm Falla en iPlanet deja vulnerables a usuarios de Terra Por Redacción VSAntivirus vsantivirus@videosoft.net.uy El servidor de correo iPlanet Messaging de SUN Microsystems es utilizado por millones de usuarios en el mundo entero, y en España por Terra.es (Terra Networks) entre otros. Soporta protocolos POP3, SMTP, IMAP4 y servicios de correo basados en web. Según un reciente reporte publicado en varios sitios de seguridad, este servidor sufre una vulnerabilidad del tipo CROSS-SITE-SCRIPTING (XSS). Esta falla permite a un atacante introducir en el campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado. El problema se produciría al utilizar los servicios de correo web (webmail). Para identificar la sesión de usuario, iPlanet utiliza un código único (SID) de 16-bit. El SID es enviado en forma de parámetro dentro de la URL solicitada (Uniform Resources Locator o Localizador Uniforme de Recursos, un "apuntador" a la ubicación de cualquier archivo, como por ejemplo una página HTML), no existiendo necesidad de usar cookies. Por otra parte, iPlanet abre los archivos HTML asociados a los mensajes, dentro del contexto del propio servidor, desde donde también es accesible el SID. Sin embargo, una vulnerabilidad en el software permite incluir un adjunto que contenga un script en un correo electrónico y luego ejecutarlo en ese mismo contexto, o sea dentro del servidor. Ese script puede entonces obtener el SID del usuario que recibe el mensaje, en el momento que este lo abre para leerlo. Cómo iPlanet no comprueba correctamente el URL, puede hacerse que el script envíe ese SID al atacante, el cuál podrá usarlo luego para acceder a esa cuenta, agregando la información faltante (nombre de usuario, que suele ser la dirección electrónica). Esta falla puede explotarse en cualquier portal de correo web que utilice iPlanet. En sitios como Terra.es, para que el ataque tenga éxito deben usarse unos pocos trucos más para sortear algunos mecanismos de seguridad extra (cortafuego incluido), que realizan un filtrado básico. Este no es obstáculo para cualquier atacante con mínimos conocimientos. No hay solución oficial para este tema, por lo que se sugiere no acceder al correo de estos servicios desde el portal web, utilizando en su lugar los servicios POP3 y SMTP (Outlook Express, etc.). Reportado por: Hugo Vázquez Caramés y Toni Cortés Martínez [http://www.infohacking.com] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Fallo de seguridad en El Corte Inglés Online _____________________________________________________________ http://www.vsantivirus.com/ai-corteingles.htm Fallo de seguridad en la tienda Online de El Corte Inglés Este artículo proviene de Asociación de internautas http://internautas.org/ Un internauta, Lorenzo Hernandez Garcia-Hierro, ha descubierto un fallo de seguridad en las tiendas Online de El Corte Ingles. Se ha puesto en contacto con nuestra Asociación [Nota VSA: Asociación de Internautas de España] al ver que todos los intentos para que los responsables de dicha tienda comprobaran y remediaran dicho problema de seguridad han sido infructuosos. El fallo de seguridad, que hemos podido comprobar, de la tienda de El Corte Ingles se basan en la utilización de una variable que es vulnerable de ser usada para un ataque XSS (Cross Site Scripting). Aprovechando esta vulnerabilidad (solo utilizable en el contexto del cliente), se pueden falsificar y modificar formularios de identificación para engañar al cliente y hacerle pensar que se encuentra ante el Corte Inglés cuando realmente también está conectado a una página IFRAME donde se puede incluir de forma "transparente" un sistema de login/identificación del cliente falsificado en otro sitio y que envíe los datos del cliente al atacante, robar las cookies de datos del usuario o incluir archivos ejecutables en el cliente (con navegador Internet Explorer). La Asociación de Internautas recomienda a todos los usuarios que hasta que no se subsane dicho fallo de seguridad no accedan a dicha web desde ningún enlace externo, sino tecleando directamente en el navegador su dirección. También recomendamos a los responsables del sitio web de El Corte Ingles que atiendan cuantas informaciones le hagan llegar los internautas, como en el caso que nos ocupa, para mayor seguridad y tranquilidad de todos. Asociación de Internautas El URL de esta historia es: http://internautas.org//article.php?sid=1010 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Sobig.C. Remitente: "bill@microsoft.com" _____________________________________________________________ http://www.vsantivirus.com/sobig-c.htm Nombre: W32/Sobig.C Tipo: Gusano de Internet Alias: Win32/Sobig.C, W32.Sobig.C@mm Fecha: 31/may/03 Plataforma: Windows 32-bit [Información preliminar] Se trata de una nueva versión del Sobig, que se propaga simulando ser un mensaje enviado por el propio Bill Gates, el fundador de Microsoft. Ha sido detectado el 31 de mayo. Como los anteriores se presenta siempre como proveniente del mismo remitente (en este caso "bill@microsoft.com"). Esto puede ser un dato importante para bloquear dicho gusano, por medio de un filtro. Se recomienda actualizar las bases de datos de sus antivirus, que ya han actualizado las mismas para reconocer esta versión. El gusano está compilado en Microsoft Visual C (MSVC) y comprimido con una versión modificada de la herramienta UPX, con la intención de dificultar su detección. Cuando se ejecuta, se copia como "mscvb.exe" en la carpeta System de Windows: c:\windows\system\mscvb.exe El gusano busca archivos con las extensiones .TXT, .EML, .HTML, .HTM, .DBX y .WAB, en todos los discos duros, para extraer direcciones de correo a las que luego se enviarán los mensajes infectados. Esas extensiones incluyen además de páginas Web en archivos temporales, las bases de mensajes y los mensajes del Outlook Express y la libreta de direcciones de Windows. Para enviarse por correo, el gusano utiliza su propio motor SMTP, no dependiendo del cliente de correo instalado. Los mensajes enviados poseen las siguientes características: De: bill@microsoft.com Texto: Please see the attached file. Asunto: [seleccionado al azar de la siguiente lista] Approved Re: 45443-343556 Re: Application Re: Approved Re: Movie Re: Screensaver Re: Submited (004756-3463) Re: Your application Screensaver Datos adjuntos: [seleccionado al azar de la siguiente lista] 45443.pif application.pif approved.pif document.pif documents.pif movie.pif screensaver.scr submited.pif Los archivos PIF (Windows Program Information), normalmente son archivos utilizados para almacenar información relacionada con la ejecución de los programas DOS, pero también pueden incluir código en formatos EXE, COM o BAT en su interior, el cuál puede ser ejecutado por el propio PIF. En este caso son .EXE renombrados como PIF. Para el sistema operativo esto no hace diferencia, y son ejecutados directamente si el usuario hace doble clic sobre ellos. El gusano modifica el registro para autoejecutarse en la máquina infectada al reiniciarse ésta: HKLM\Software\Microsoft\Windows\CurrentVersion\Run System MScvb = c:\windows\system\mscvb.exe NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). También intenta propagarse a través de recursos compartidos en redes, a otras computadoras. Para ello, numera las carpetas compartidas en red, y si tiene los permisos, intentará copiarse en alguna de las carpetas de inicio: Windows 95, 98 y Me: C:\WINDOWS\Menú Inicio\Programas\Inicio C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio Windows XP y 2000: C:\Documents and Settings \[usuario]\Menú Inicio\Programas\Inicio C:\Documents and Settings \All Users\Menú Inicio\Programas\Inicio Windows NT: C:\WinNT\Profiles \[usuario]\Menú Inicio\Programas\Inicio C:\WinNT\Profiles \All Users\Menú Inicio\Programas\Inicio Las computadoras así infectadas, cargarán al gusano en memoria cuando las mismas sean reiniciadas. En ocasiones, se copia en los directorios raíz o en la carpeta actual. * Reparación manual Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano. En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: mscvb.exe 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione Todos los archivos y carpetas 3. En "Todo o parte del nombre" ingrese (o corte y pegue), lo siguiente: mscvb.exe 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada (podría no existir): System MScvb 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: System MScvb 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Auric.B. Modifica apariencia y detiene antivirus _____________________________________________________________ http://www.vsantivirus.com/auric-b.htm Nombre: W32/Auric.B Tipo: Gusano de Internet Alias: WORM_AURIC.B, W32/Magold-B, I-Worm.Magold.b, W32/Auric.B@mm Fecha: 31/may/03 Plataforma: Windows 32-bit Tamaños: 240,640 bytes (UPX), 622,592 bytes Este gusano puede presentarse en dos versiones, una de ellas comprimida con la utilidad UPX. Es muy fácil de detectar, ya que cambia la apariencia general de Windows, cambiando los colores de las ventanas y los menús por un rojo intenso, difícil de visualizar. Además, modifica el funcionamiento del ratón, impidiendo que su puntero pueda ser situado sobre las barras de herramientas. También crea varios archivos en el escritorio, desactiva el administrador de tareas, abre el browser con una página web determinada, cada cierto tiempo expulsa la bandeja del CD, y también detiene el funcionamiento de ciertos antivirus. Escrito en Borland Delphi, sus tamaños varían de 240 Kb (comprimido), a 622 Kb (sin comprimir). El gusano se propaga a través del correo electrónico, de los programas de intercambio de archivos entre usuarios (P2P) y de los canales de chat. El gusano puede llegar en un mensaje con estas características: De: EROTIKA.LAP.HU [erotika@lap.hu] Asunto: Maya Gold-os kepernyokimelo! Datos adjuntos: MAYA GOLD.SCR Texto: Tisztelt cím! Az EROTIKA.LAP.HU nézettségének növelése érdekében egy kis ízelítõt kíván adni kínálatából az Internet felhasználóknak! FIGYELEM: A 'Maya Gold.scr' nevû csatolt állomány egy képernyõvédõ. Mint a neve is mutatja Maya Gold pornószínésznõrõl tartalmaz különbözõ képeket. Az állományt ajánlott elõbb a lemezre menteni, majd utána futtatni. Amennyiben valami problémája, kérdése van, írjon a következõ címre: erotika@lap.hu Üdvözlettel: EROTIKA.LAP.HU Cuando se ejecuta, muestra una ventana con un mensaje falso: DirectX DirectX Error! Address:0002R1A9V8E52000 [ OK ] Luego, crea los siguientes archivos: c:\windows\MAYA GOLD.SCR c:\windows\AVE.EXE c:\windows\raVe.exe c:\windows\System32\RAVEC.TXT Los dos primeros son copia del propio gusano, y el archivo .TXT contiene las direcciones de correo a las que enviará los mensajes infectados. NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). "C:\Windows\System32" también existe en Windows 9x y Me, pero con otro contenido. Dentro del directorio Windows, crea la carpeta "raVe" y otra copia de si mismo: c:\windows\raVe\MAYA GOLD.SCR Si en la computadora infectada están instalados los programas mIRC o pIRCh, crea los siguientes archivos, con la configuración necesaria para enviarse a través de los canales de IRC (como MAYA GOLD.SCR), cuando el usuario se conecta a ellos: \mirc\script.ini \mirc32\script.ini \pirch98\events.ini Además, crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run raVe = c:\windows\raVe.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices raVe = c:\windows\raVe.exe Para transferirse a través de la red KaZaa: HKCU\Software\Kazaa\Transfera DlDir0 = c:\windows\raVe.exe Para ejecutarse cada vez que se llamen a archivos con extensión .BAT, .COM, .EXE, .PIF y .SCR: HKEY_CLASSES_ROOT\batfile\shell\open\command (Predeterminado) = c:\windows\raVe.exe "%1" %* HKEY_CLASSES_ROOT\comfile\shell\open\command (Predeterminado) = c:\windows\raVe.exe "%1" %* HKEY_CLASSES_ROOT\exefile\shell\open\command (Predeterminado) = c:\windows\raVe.exe "%1" %* HKEY_CLASSES_ROOT\piffile\shell\open\command (Predeterminado) = c:\windows\raVe.exe "%1" %* HKEY_CLASSES_ROOT\scrfile\shell\open\command (Predeterminado) = c:\windows\raVe.exe "%1" /S También registra los siguientes valores: HKEY_LOCAL_MACHINE\SOFTWARE\raVe (Predeterminado) = beepul HKEY_LOCAL_MACHINE\SOFTWARE\raVe (Predeterminado) = halozat HKEY_LOCAL_MACHINE\SOFTWARE\raVe (Predeterminado) = irc Para propagarse a través del correo electrónico, el gusano configura una cuenta en el Outlook u Outlook Express, y desde ella envía una copia de si mismo a todos los contactos de la libreta de direcciones de Windows, y a todas las direcciones recogidas de archivos cuyas extensiones correspondan al siguiente comodín: *.HT* (*.htm, *.html, *.hta, etc.). Estas direcciones son almacenadas en el archivo "c:\windows\System32\RAVEC.TXT" visto antes. El mensaje enviado tiene las características ya vistas. Para propagarse por las redes P2P, se copia como "MAYA GOLD.SCR" en los siguientes directorios compartidos por defecto por estos programas: \Limewire\Share\ \Gnucleus\Downloads\ \Gnucleus\Downloads\Incoming\ \Shareaza\Downloads\ \Bearshare\Shared\ \Edonkey2000\Incoming\ \Morpheus\My Shared Folder\ \Grokster\My Grokster\ \ICQ\Shared Files\ \Edonkey2000\ Después de su ejecución, cada cierto tiempo realiza las siguientes acciones: - Abre la bandeja del CD-ROM - Llena el escritorio con 2001 archivos de textos vacíos con los siguientes nombres: raVe0.txt raVe1.txt [...] raVe2000.txt - Cambia el color de las ventanas de Windows por un rojo intenso - Impide que el cursor de Windows se mueva sobre algunas áreas de la pantalla - Agrega los siguientes títulos a los títulos de las ventanas activas de Windows: =:-) OFFSPRING is coOL =:-) PUNK'S NOT DEAD =:-) - Abre el Internet Explorer con el siguiente sitio: www.offspring.com Puede enviar información de la computadora infectada a un usuario remoto, en un mensaje como el siguiente: Para: rave-punk@freemail.hu De: EROTIKA.LAP.HU Asunto: Maya Gold-os kepernyokimelo! Texto: Szevasz haver! Ez tökre bejött! Nesze a cucc: [dirección IP del infectado] Név: [usuario registrado] Winver: [sistema operativo] Felkész: Megoszt: [lista de carpetas compartidas] PUNKS NOT DEAD El gusano también intenta sacar por la impresora algunos textos en húngaro. Además puede finalizar los procesos en ejecución cuyos nombres contengan las siguientes cadenas de caracteres: VIR AV NORT AFEE ANTI El gusano intenta descargar actualizaciones de la siguiente dirección: ftp.fw.hu Esta versión del gusano también crea copias de si mismo con el nombre de "Maya Gold.SCR" en las unidades mapeadas de una red y en unidades removibles (como la disquetera). También crea un archivo AUTORUN.INF en todas esas unidades. AUTORUN.INF contiene la entrada para ejecutar "Maya Gold.SCR". * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Reparación especial (archivos asociados) NOTA: Debido a las modificaciones hechas al registro se deben seguir los siguientes pasos para su correcta modificación. 1. Actualice sus antivirus con las últimas definiciones y descargue (por ejemplo en el escritorio de Windows) el archivo "exefile.reg" de nuestro sitio: http://www.videosoft.net.uy/exefile.reg Luego, reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm Haga doble clic sobre el archivo "exefile.reg" descargado anteriormente en su PC, y confirme las modificaciones a realizar. 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\MAYA GOLD.SCR c:\windows\AVE.EXE c:\windows\raVe.exe c:\windows\System32\RAVEC.TXT \mirc\script.ini \mirc32\script.ini \pirch98\events.ini Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir cada una de las siguientes ramas: HKEY_CLASSES_ROOT\batfile\shell\open\command (Predeterminado) = c:\windows\raVe.exe "%1" %* HKEY_CLASSES_ROOT\piffile\shell\open\command (Predeterminado) = c:\windows\raVe.exe "%1" %* HKEY_CLASSES_ROOT\scrfile\shell\open\command (Predeterminado) = c:\windows\raVe.exe "%1" /S 3. En todos los casos, pinche sobre la carpeta "command", y en el panel de la derecha, pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del gusano (c:\windows\raVe.exe) y dejar el resto, de modo que finalmente quede así: HKEY_CLASSES_ROOT\batfile\shell\open\command (Predeterminado) = "%1" %* HKEY_CLASSES_ROOT\piffile\shell\open\command (Predeterminado) = "%1" %* HKEY_CLASSES_ROOT\scrfile\shell\open\command (Predeterminado) = "%1" /S 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: raVe 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 7. Pinche en la carpeta "RunRunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: raVe 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Kazaa \Transfera 9. Pinche en la carpeta "Transfera" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DlDir0 = c:\windows\raVe.exe 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \raVe 11. Pinche en la carpeta "raVe" y bórrela. 12. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual". * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Auric.C. Variante preparada para Win NT, 2000 y XP _____________________________________________________________ http://www.vsantivirus.com/auric-c.htm Nombre: W32/Auric.C Tipo: Gusano de Internet Alias: WORM_AURIC.C, W32/Magold-C, I-Worm.Magold.C, W32/Auric.C@mm Fecha: 31/may/03 Plataforma: Windows 32-bit Tamaños: 240,640 bytes (UPX), 622,592 bytes Esta versión del gusano es prácticamente idéntica a las anteriores (para sus detalles refiérase a la descripción de W32/Auric.B, http://www.vsantivirus.com/auric-b.htm). La única diferencia es que está preparada para su correcta ejecución en Windows Windows NT, 2000, y XP. * Más información: W32/Auric.B. Modifica apariencia y detiene antivirus http://www.vsantivirus.com/auric-b.htm W32/Auric.A. Realiza cambios notorios y detiene antivirus http://www.vsantivirus.com/auric-a.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1059 Año 7, Domingo 1 de junio de 2003