Mostrando mensaje 116     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1067 Año 7, Lunes 9 de junio de 2003 Fecha: Lunes, 9 de Junio, 2003  15:00:22 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1067 Año 7, Lunes 9 de junio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Vulnerabilidad de Hotmail que favorece a los spammers 2 - Mapson, un gusano con poco futuro 3 - W32/Mapson.A. Gusano que hace referencia a VSAntivirus 4 - W32/Mofei.A. Se propaga rápidamente en redes _____________________________________________________________ 1 - Vulnerabilidad de Hotmail que favorece a los spammers _____________________________________________________________ http://www.vsantivirus.com/vul-hotmail-spam-webdav.htm Vulnerabilidad de Hotmail que favorece a los spammers Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Existe una nueva y poco conocida vulnerabilidad, que podría estar siendo explotada por spammers para el envío de su correo basura. No es novedad que Hotmail, el servicio de correo gratuito de Microsoft, puede ser accedido desde el Outlook Express. Esta integración está implementada en forma no tradicional, y para el envío de los mensajes a los servidores, se utiliza en forma propietaria el protocolo WebDAV (Distributed Authoring and Versioning). Se supone que Hotmail también ha implementado los métodos de seguridad necesarios para proteger sus servidores de posibles brechas en la seguridad de la interface DAV. Sin embargo, existen evidencias que estas protecciones pueden ser vulneradas, e incluso puede conseguirse información en Internet sobre como hacerlo. Hotmail siempre ha sido considerado una importante fuente de correo no deseado. Y aunque Microsoft ha creado protecciones, y ciertamente ha implementado políticas para luchar contra el spam en su servicio de correo, éste sigue siendo una de las principales fuentes de correo basura. Hasta ahora, una de las limitaciones de los spammers estaba en el hecho de tener que usar el cortar y pegar para el envío. Pero con el descubrimiento de esta nueva vulnerabilidad, esto puede implementarse mediante el uso de un script. Al menos eso es lo que afirman las publicaciones que mencionan esta falla hasta el momento, sin dar mayores detalles de la misma. Aunque este nuevo tipo de generación de spam, puede implementarse también desde el puerto 25 (protocolo SMTP normal), la verdaderamente grave es la que se basa en el protocolo WebDAV, ya que la otra es fácil de bloquear, sobre todo cuando se intenta generar desde redes corporativas. Y justamente, con esta falla, el spam puede generarse desde estas redes, usando máquinas vulnerables (cualquiera con Windows y correo de Hotmail). Una forma de saber si el spam que usted recibe está originado por esta técnica, es examinar si en las propiedades del mensaje figura una línea como ésta: Received: from 202.144.44.81 by bay3-dav91.bay3.hotmail.com with DAV; Sat, 07 Jun 2003 23:33:24 +0000 Tenga en cuenta que la vulnerabilidad debe ser corregida por Microsoft. Sin embargo, es común la lentitud de éste para asumir ciertos temas de seguridad que involucran a Hotmail. Un ejemplo; el antivirus que protege a millones de usuarios con cuentas en este servicio, es VirusScan de McAfee en su versión corporativa. Sin embargo, los mecanismos de actualización implementados por Microsoft dejan que desear. Aunque McAfee detecta el virus W32/Mapson.A desde pocas horas después de su descubrimiento, el correo de Hotmail infectado con este virus al momento actual, todavía no es bloqueado. Seguramente cuando lo empiece a hacer, las incidencias de este gusano disminuyan, ya que utiliza este servicio para su propagación. Y no hay razón lógica alguna que justifique esta demora, máxime cuando el antivirus ya lo detecta y muy bien. W32/Mapson.A es el gusano que en ocasiones es enviado como si se tratara de un mensaje de VSAntivirus.com. * Referencias: Spam-sending malware http://spamcop.net/fom-serve/cache/363.html Nuevo virus que hace referencia a VSAntivirus.com http://www.vsantivirus.com/07-06-03.htm W32/Mapson.A. Gusano que hace referencia a VSAntivirus http://www.vsantivirus.com/mapson-a.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Mapson, un gusano con poco futuro _____________________________________________________________ http://www.vsantivirus.com/ims-mapson.htm Mapson, un gusano con poco futuro Por Ignacio M. Sbampato(*) webmaster@virusattack.com.ar Parece estar convirtiéndose en costumbre que los virus de mayor propagación comiencen a ser detectados los sábados, como sucedió ayer con el nuevo gusano W32/Mapson (antes llamado W32/Lorra o W32/Renalo). A mediados del día de ayer comenzamos a recibir varios reportes de éste por lo que tras hacer un análisis rápido de los ejemplos recibidos, enviamos un alerta preventiva a nuestro boletín de noticias. Uno de los principales ganchos de este gusano que se reproduce por correo electrónico y redes de aplicaciones de intercambio de archivos P2P son los múltiples mensajes en los que puede llegar a variar, todos ellos en Español. Esto provocó que inicialmente se reprodujera rápidamente en Latinoamérica y, en menor proporción, España. Algunos de estos mensajes hacen referencia a importantes sitios de seguridad informática, como HispaSec y VSAntivirus.com, simulando provenir de ellos, lo que pudo engañar a gran número de usuarios. Además, otros mensajes mencionan temas como programas de televisión, estrellas de la música y alertas sobre nuevos virus, distintos trucos de ingeniería social para lograr que el usuario ejecute el archivo adjunto. Funcionalmente, tras un análisis más exhaustivo, el gusano no tiene funcionalidades fuera de lo común. Para reproducirse por correo electrónico recolecta todas las direcciones de los contactos del MSN Messenger del usuario infectado y se envía a ellos en un mensaje simple de correo, sin ninguna técnica para ejecutarse automáticamente. De esta manera, todos los mensajes infectados tienen como objetivo llegar a direcciones de correo electrónico de Hotmail, y también provienen de éstas, pero no siempre de la del usuario infectado. El gusano se envía desde y hacia cualquiera de las direcciones recolectadas, provocando cierta confusión sobre si quien aparece como remitente es realmente quien está infectado. Pero esta funcionalidad es con la que el gusano ha firmado su propia sentencia de muerte. Al utilizar exclusivamente el servicio de correo electrónico de Hotmail para enviarse, ni bien el antivirus que se utiliza en él (McAfee VirusScan) sea actualizado, el gusano será detectado en todos los mensajes que genere, y los usuarios serán advertidos, cuenten, o no, con un antivirus en sus equipos. Lamentablemente, pese que durante la tarde de hoy Network Associates, responsable del producto, publicó una descripción del gusano (uno de los pocos fabricantes antivirus importantes que lo hizo) y ya existen actualizaciones para detectarlo, el servicio de Hotmail sigue sin contar con las últimas definiciones del antivirus y, por lo tanto, no reconoce el virus en los mensajes infectados que reciben sus usuarios. Charlando sobre el tema con José Luis López, experto uruguayo y responsable máximo del sitio VSAntivirus.com, nos hizo recordar que esto no es nuevo, y es ya una costumbre que el antivirus de Hotmail no sea actualizado rápidamente en algunos casos. Pero, ni bien lo haga, el gusano ya no podrá reproducirse por correo electrónico y las pocas copias que sigan en la calle lo estarán en los equipos infectados que utilicen aplicaciones de intercambio de archivos. Un tema curioso respecto de este gusano ha sido la lentitud con la que algunas casas antivirus han reaccionado. No puede decirse que la razón sea que el gusano haya aparecido durante el sábado dado que con el Sobig.B, Sobig.C y Fizzer los antivirus reaccionaron rápido, por lo que si debemos buscar un motivo en este retraso prolongado en las actualizaciones debemos buscarlo en el hecho de que los textos que el gusano utiliza estén en español y no en inglés. Las casas antivirus que más rápido reaccionaron fueron PER Antivirus y HackSoft (ambos de Perú), y Symantec (responsables del Norton Antivirus). Recién unas 8 horas después del segundo reporte que realizamos, notificando que el gusano se encontraba activo y siendo bastante reportado, otras casas como Kaspersky Labs., Network Associates (McAfee) y Panda Software, y un poco después, NOD32, cuya versión 2.0 Beta 5 lo detectaba heurísticamente en su módulo IMON desde el principio. El hecho de que los principales antivirus no sean de origen hispano o latinoamericano (salvo el caso de Panda Software) y que sus laboratorios antivirus sean principalmente manejados en Estados Unidos, Europa o Asia, provoca que cuando la amenaza recae solamente en el mundo hispanohablante, como en este caso, la respuesta sea más lenta. En un mundo tan globalizado como el actual, sobre todo en lo que a la informática se refiere, donde productos antivirus de Japón son usados hasta en Guatemala, es importante que los productos de seguridad respondan rápidamente tanto en epidemias de origen europeo como en las de origen latinoamericano, porque el hecho de que no afecte a Europa o Estados Unidos no implica que sea menos peligroso. Quizás, para los responsables comerciales de algunas casas antivirus el mercado latinoamericano sea chico y menos importante y por ello sucedan este tipo de cosas, donde todavía existen varios antivirus, algunos muy importantes, que no detectan este gusano, el cual aún sigue siendo reportado. Esto nos hace pensar si es bueno contar con un producto extranjero o mejor sería utilizar alguno cuya localización sea lo más cercana a nuestro hogar o empresa. Pasadas más de 24 horas desde su aparición, empresas de renombre como Sophos (con laboratorios en Estados Unidos y Gran Bretaña), Trend Micro (responsable del PC-Cillin y con laboratorios en Filipinas y Estados Unidos) o Computer Associates (desarrollador del eTrust InoculateIT y con principal presencia en Estados Unidos) aún no detectan el gusano. Extraño es el caso de Trend Micro, compañía con importante presencia en Latinoamérica que aún no tiene una forma de detectar el W32/Mapson. Lo mismo sucede con el BitDefender (ex AVX), de origen rumano, y con el AVG, gratuito y de mucho uso, de origen checo, pero puede justificarse con que no cuentan con un amplio mercado en los países de habla hispana. Curioso es el caso de AVAST! 4, también de la República Checa, que ya detecta el gusano, antes que otras empresas con presencia mundial. Obviamente que allí poco español es el que se habla pero su respuesta ha sido óptima. Volviendo al gusano en sí, y dejando planteado que las compañías antivirus deberían tratar cada amenaza por igual, como decíamos al principio, tiene los días contados, pero esto no implica que no debamos tener mayor precaución con aquello que recibimos por correo electrónico. Adjuntos no solicitados, aunque provengan de una fuente confiable, no deben ser nunca ejecutados sin antes corroborar que nos lo haya enviado quien dice ser el remitente y haberlo analizado con uno o dos antivirus actualizados. En esta oportunidad, el gusano no parece ser malicioso, pero ¿qué hubiera pasado si hubiera tenido rutinas para dañar seriamente los equipos infectados? Hay que estar siempre alerta, porque la única línea de defensa en la que podemos confiar 100% somos nosotros, y si fallamos, puede que no tengamos otra forma de proteger nuestra información cuando la necesitemos. * Más información Virus Attack! - Alerta: Nuevo gusano en la calle http://virusattack.virusattack.com.ar/noticias/VerNoticia.php 3?idnotas=352 VSAntivirus.com – Hotmail vulnerable a los virus http://www.vsantivirus.com/30-01-01a.htm (*) Este artículo, original de VirusAttack! http://www.virusattack.com.ar, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse a webmaster@virusattack.com.ar (*)Ignacio M. Sbampato es el WebMaster y Responsable de Contenidos de Virus Attack! y es Redactor de Noticias relacionadas con virus informáticos y seguridad de DiarioRed.com (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Mapson.A. Gusano que hace referencia a VSAntivirus _____________________________________________________________ http://www.vsantivirus.com/mapson-a.htm Nombre: W32/Mapson.A (Lorra) Tipo: Gusano de Internet Alias: W32/Lorra.A, W32/Renalo, W32/Gedzac, W32/Falckon, W32.Mapson.Worm, I-Worm.Mapson, , Mapson, W32/Mapson, W32/Lorra, Lorraine, W32/Mapson@MM, W32/Lorraine, Win32/Mapson.A Fecha: 7/jun/03 Origen: México Tamaño: 180,736 bytes Plataforma: Windows 32-bit [Basada en una descripción primaria realizada por Ignacio Sbampato, VirusAttack!] Actualizado el 8/jun/03 Este gusano intenta propagarse por correo electrónico, aplicaciones de intercambio de archivos P2P y vía MSN Messenger e ICQ, y no posee efectos destructivos. Su código está programado en Borland Delphi 6, y comprimido con la utilidad UPX. Vía correo electrónico, puede recibirse en un gran número de mensajes en español, con más de 60 textos y asuntos, todos diferentes. Algunos con remitente fijo y otros variables, tomados estos últimos de las libretas de direcciones del usuario infectado y las listas de contactos de MSN Messenger. Al menos uno de estos mensajes hace referencia a VSAntivirus.com. Otro menciona un test antivirus de Hispasec, y otros sitios dedicados a divulgar información en español sobre la amenaza de los virus. En TODOS los casos, recuerde que ninguno de estos sitios (incluido VSAntivirus.com por supuesto), envía adjuntos no solicitados en su correo. Puede enviarse a las casillas de cTmail, un servicio de envío de correo basado en la web (principalmente de Hotmail). Al valerse de HOTMAIL.COM para su envío, esta forma de propagación ha sido prácticamente bloqueada por el antivirus del propio Hotmail (McAfee). Utiliza su propio motor SMTP. Cuando los mensajes infectados son enviados, el gusano ejecuta el sonido de inicio de Windows. Esta es una lista de esos mensajes: De: bigbrother@bigbrother.tv Asunto: Big Brother te espera Datos adjuntos: BigBrother.pif Texto del mensaje: Felicidades! le hemos enviado este E-Mail porque usted ha ganado un pasaje a México al programa Reality show BigBrother,si usted quiere participar en este programa deberá abrir el archivo adjunto. De: support@hotmail.com Asunto: Su cuenta de hotmail sera eliminada Datos adjuntos: hotmail.pif Texto del mensaje: Estimado usuario de hotmail,debido al trafico en el servidor y a las fallas que se han venido presentando en este presente mes,hemos de informarle que su cuenta será removida de nuestra base de datos en menos de 24 horas, le rogamos por favor lea el adjunto con los pasos para evitar que esto suceda. Atentamente el Equipo tecnico de Hotmail. De: support@passport.com Asunto: 10 reglas de seguridad para su cuenta de hotmail Datos adjuntos: seguridad_en_hotmail.pif Texto del mensaje: Amable Usuario de hotmail, la razón de este mail es para darle a conocer las 10 reglas de seguridad que un usuario de passport debe tener en cuenta para evitar que su cuenta sea borrada, hackeada etc...las reglas están en el adjunto.Atentamente equipo tecnico de passport De: hacker@hotmail.com Asunto: ¿Puedo ser hacker en 24 horas? Datos adjuntos: serhacker.pif Texto del mensaje: No. La respuesta es un no rotundo. Ni en 24 ni en 48 horas :) Pero en este tiempo sí puedes tener una idea aproximada y muy básica de lo que es y de lo que "no es" un hacker y decidir si quieres convertirte en uno de ellos. Te recomiendo que leas el archivo que te mando, esta en español y es muy interesante acerca de estos temas (hacking,cracking,vulnerabilidades). De: notice@madonna.com Asunto: Hackean página de Madonna sospechosa de envenenar KaZaA Datos adjuntos: defaced-madonna-site.pif Texto del mensaje: Tras sospecharse que Madonna contaminó la red KaZaA con algunos archivos envenenados, un grupo hacker ha contraatacado asaltando su página y colgando algunos de los temas de su último álbum en formato MP3.más de esta revelante noticia en el adjunto. De: Anti-Spam@campaña.com Asunto: SPAM La proxima gran epidemia Datos adjuntos: No-Spam.exe Texto del mensaje: El Spam esta avanzando constantemente y a logrado saturar nuestros correos electronicostal vez sea el principio de una epidemia mundial de esta peste que nos tiene cansados de la publicidad. De: test@hispasec.com Asunto: Tests antivirus para comprobar la protección del e-mail Datos adjuntos: EICAX.COM Texto del mensaje: Hispasec pone a disposición de todos los usuarios dos tests para comprobar el correcto funcionamiento de la protección antivirus del correo electrónico. El primero de ellos nos indicará la correcta instalación y buen funcionamiento del antivirus, mientras que el segundo determinará la capacidad de detección proactiva para identificar gusanos que explotan vulnerabilidades conocidas. De: Amor@teamo.com Asunto: Te amo Datos adjuntos: teamo.exe Texto del mensaje: Lo amo a usted por que es la persona más linda del mundo. De: Latincards@latincards.com Asunto: LatinCards Datos adjuntos: LatinCard.pif Texto del mensaje: Le han enviado una LatinCard para poder visualizarla abra el adjuntoGracias. De: lorena@hotmail.com Asunto: Te Amo Datos adjuntos: porqueteamo.pif Texto del mensaje: Averigua por que..... De: Maria_fernanda@mfernanda.com Asunto: Re: Dime que te parece Datos adjuntos: www.mfernanda.com Texto del mensaje: Hola, como estás? hace tiempo que no se nada de ti... quería hablar contigo sobre un tema.Se trata de mi nuevo portal en el que quiero ofrecer toda mi recopilación de links en espanol. Me gustaría que le echaras un vistazo y me dijeras que tal lo ves tu, si te gusta o cambiarías algo. De: lacosha@hotmail.com Asunto: Recuerda! Texto del mensaje: Espero que siempre me escribas. De: Webmaster@vsantiviru.com Asunto: Informate de los virus Datos adjuntos: www.vsantiviru.com Texto del mensaje: Hola, soy el webmaster de VSANTIVIRUS, estamos realizando una camapaña Contra los virus informaticos y nuestro deber es informarle a los usuarios como usted Que es un virus, las acciones que causan y como desinfectarse.Si usted desea acceder a toda esta información haga el favor de hacer clic en el link que le adjuntamos.Gracias De: Webmaster@zonaviru.com Asunto: Zona Virus.com tu Zona Antivirica en español Datos adjuntos: www.zonaviru.com Texto del mensaje: Hola, soy el webmaster de zonaviru y quiero invitarlo a visitar mi sitio web, usted podrá informarse sobre los últimos virus aparecidos, también sabrá como se crean estas alimañas informáticas,quienes los crean, como desinfectarse etc... mucha mucha más información.Cuento con su visita Gracias Atentamente el Webmaster de ZonaVirus De: cristina_aguilera@cristina-aguilera.com Asunto: Cristina Aguilera Puta de medio tiempo o mentira? Datos adjuntos: cristina-aguilera.pif Texto del mensaje: es la mera neta. De: [variable] Asunto: Problema de seguridad en Windows Media Player Datos adjuntos: WindowsMediaPlayerBug.pif Texto del mensaje: Windows Media Player, el reproductor multimedia que acompaña gratuitamente a los sistemas Microsoft, se ve afectado por un problema de seguridad que puede permitir la ejecución de código en la máquina del usuario atacado.por lo que recomendamos leer más acerca de este bug en el adjunto y aplicar los correspondientes parches de seguridad. De: [variable] Asunto: ¿Cómo hackear hotmail? Datos adjuntos: hackeahotmail.pif Texto del mensaje: Hola, he estado buscando en la red y encontré esta guía de hacking que enseña como hackear hotmail,orienta al robo de cuentas, imagínate robarle la cuenta a tu novia, tu amigo etc.. a quien quieras, te lo aseguro yo ya lo leí y lo comprobé, disfrútalo. De: [variable] Asunto: ¿Que le atrae a las mujeres? Datos adjuntos: mujeres.pif Texto del mensaje: Un reciente estudio del comportamiento en la mujer afirma que a ellas les atrae de los hombreses la cara, las manos y su movimiento, si quiere saber más lea por favor el articulo que le adjuntamos De: [variable] Asunto: Chistes Gráficos Datos adjuntos: chistesgraficos.pif Texto del mensaje: Estos son los chistes gráficos que más me han gustado espero que a ti también. De: [variable] Asunto: Test de pasión Datos adjuntos: testpasion.pif Texto del mensaje: Test de pasión para usted y su pareja, contéstelo y descubra cuanto desea y quiere a su pareja. De: [variable] Asunto: RE: Test de idiotes Datos adjuntos: test-idiota.pif Texto del mensaje: Compruebe si usted es un verdadero idiota. De: [variable] Asunto: Kamasutra Datos adjuntos: kamasutra.pif Texto del mensaje: Kamasutra el arte del sexo De: [variable] Asunto: Su pareja ideal Datos adjuntos: parejaideal.txt.pif Texto del mensaje: Los 10 consejos para tener una pareja ideal,Léalos y póngalos en practica, le aseguro que tendrá resultadossatisfactorios. De: [variable] Asunto: Amor Real... Datos adjuntos: existeee.pif Texto del mensaje: en verdad existe? De: [variable] Asunto: Vulnerabilidad Critica en el Msn Messenger Datos adjuntos: bugmsn.pif Texto del mensaje: Una vulnerabilidad critica detectada en el msn messenger podría provocar el robo de su cuenta de correoes importante que lea mas de esta vulnerabilidad para poderse proteger de ella. De: [variable] Asunto: ¿Cómo puedo crear un virus? Datos adjuntos: TutorialVBSvirus.pif Texto del mensaje: Esta pregunta siempre me la han hecho y creo que la voy a responder. Para crear un virus no necesitas saber mucho de computación, con solo conocer Un poco del lenguaje de programación basta, por que no empiezas con el Visual Basic Script, te adjunto un tutorial muy completo acerca de este lenguaje y la creación de virusQue te diviertas.Bye. De: [variable] Asunto: Virus en Hotmail Datos adjuntos: nuevovirus.txt .pif Texto del mensaje: Hola, se a dado una alerta por parte de las empresas antivirus, de un nuevo virus que se expande por hotmail, hasta el momento indetectable para cualquier producto antiviral, por lo que recomiendo leer las precauciones sobre este nuevo gusano informatico. Para más información, favor de leer el documento informativo. De: [variable] Asunto: EGG Brother Datos adjuntos: eggbrother.exe Texto del mensaje: LA ultima escena de egg brother vivela ya. De: [variable] Asunto: Osama Bin Huevo regresa Datos adjuntos: osamabinhuevoback.exe Texto del mensaje: Osama bin huevo regresa con una nueva amenaza a los Huevos Unidos de América De: [variable] Asunto: El Gran Carnal Datos adjuntos: grancarnal.exe Texto del mensaje: Mirate que asterisco se tiro encima de doña pepa jeje De: [variable] Asunto: A Dios le pido.... Datos adjuntos: te-pido.scr Texto del mensaje: Que si me muero sea de amor y si me enamoro sea de vos.... De: [variable] Asunto: Antro Datos adjuntos: antrox.scr Texto del mensaje: Hey sin so sobre tras ya no digas más y despierta la locura!!! De: [variable] Asunto: Chupamelo Datos adjuntos: chupamelo.pif Texto del mensaje: Chupamelo ya... y dime que te parece. De: [variable] Asunto: Ta grande Datos adjuntos: grande.pif Texto del mensaje: Lo tengo grande y tú? De: [variable] Asunto: Tengo Sed... Datos adjuntos: amor-por-ti.pif Texto del mensaje: Tengo sed de amor por tí. De: [variable] Asunto: Mamalo Datos adjuntos: mamalo.pif Texto del mensaje: Mamalo que ta grande..... De: [variable] Asunto: para usted Datos adjuntos: historial.pif Texto del mensaje: Si te llego mal, respondeme De: [variable] Asunto: Alerta de virus Datos adjuntos: antiwinlogon.pif Texto del mensaje: Cuidado! este virus es peligroso puede formatearte el disco duro, llega por hotmail sin que te des cuenta, tu podrias estar infectado busca en tu sistema el archivo winlogon.exe, si lo tienes es mejor que utilizes la vacuna que te mando, hazlo cuanto antes!! no esperes!! De: [variable] Asunto: Necesita comprar un auto? Datos adjuntos: financiamiento.pif Texto del mensaje: Lo mejores planes de financiamiento. De: [variable] Asunto: Zorras y más zorras Datos adjuntos: zorrotttas.pif Texto del mensaje: Zorritas gratis dandole duro. De: [variable] Asunto: Matrix Trailer Datos adjuntos: Matrix-Trailer.pif Texto del mensaje: Chequelo de una vez!! no se lo pierda. De: [variable] Asunto: ¿Sabe que es GEDZAC? Datos adjuntos: GEDZAC.PIF Texto del mensaje: Por si no sabe que es. una explicación muy precisa para usted. De: [variable] Asunto: ¿Como te gustan? Datos adjuntos: comotegustan.pif Texto del mensaje: A mi me gustan, altas, bonitas, tetonas, nalgonas y tiernitas pero a ti como te gustan? De: [variable] Asunto: ¿? Datos adjuntos: Oradores.pif Texto del mensaje: Hola necesito tu ayuda con este archivo Gracias De: [variable] Asunto: Lo que nos enseña la iglesia Datos adjuntos: projimo.pif Texto del mensaje: La Iglesia nos enseña a amar, querer al prójimo pero usted deberás lo ama? De: [variable] Asunto: La mejor forma de cortar a un chico Datos adjuntos: sindolor.pif Texto del mensaje: Las 10 mejores formas para hacer esto menos doloroso. De: [variable] Asunto: para tí Datos adjuntos: Lorenaaaa.pif Texto del mensaje: Si el adjunto esta defectuoso reenviamelo. De: [variable] Asunto: Información sobre Sars Datos adjuntos: SARS.pif Texto del mensaje: Ayúdenos a contrarrestar el SARS, por favor aprenda como se contagia y sus efectos. De: [variable] Asunto: Para mis amigos Datos adjuntos: amigos.pif Texto del mensaje: De un amigo para un amigo. De: [variable] Asunto: Eres un perdedor Datos adjuntos: Madonna_sEXY.pif Texto del mensaje: Eres un perdedor no te atreves ni a mirar la foto que te doy. De: [variable] Asunto: Amistad Datos adjuntos: friends.pif Texto del mensaje: Usted es uno de mis mejores amigos. De: [variable] Asunto: Spam.. Datos adjuntos: Spamno.pif Texto del mensaje: Di no al SPAM. De: [variable] Asunto: Para mis verdaderos amigos Datos adjuntos: amigototote.pif Texto del mensaje: Te lo mereces, eres un verdadero amigo De: [variable] Asunto: Para ti nomas Datos adjuntos: solo-a-ti.pif Texto del mensaje: Para ti y nadie más De: [variable] Asunto: Necesito su ayuda Datos adjuntos: resetarios.pif Texto del mensaje: Tengo problemas con este archivo, seria tan amable de revisarlo por mi? De: [variable] Asunto: Sexo y más Datos adjuntos: relacionsexual.pif Texto del mensaje: 10 formas para disfrutar de sus relaciones sexuales De: [variable] Asunto: Linux se vende a Microsoft! Datos adjuntos: linuxandmicrosoft.pif Texto del mensaje: Al parecer Linux murio y se vendio a microsoft De: [variable] Asunto: Esta si que es puta! Datos adjuntos: Shakira.pif Texto del mensaje: NO hables más y dime si es puta De: [variable] Asunto: Tu Soft Datos adjuntos: CracksPPZ.pif Texto del mensaje: Aquí estan los cracks para los programas que pediste De: [variable] Asunto: La Virgen María no es virgen Datos adjuntos: MariaVirgen.pif Texto del mensaje: No me crees? velo tu mismo De: [variable] Asunto: Música Digital Gratis Datos adjuntos: Música.pif Texto del mensaje: Bájate todas las canciones que quieras. De: [variable] Asunto: te gusta? Datos adjuntos: thalialoca.pif Texto del mensaje: espero que te guste, si no es asi dimelo. Si se ejecuta el archivo adjunto, muestra el siguiente mensaje: Error Archivo Parcialmente Corrupto remplacelo por uno nuevo Crea los siguientes archivos en la unidad C: c:\lorraine.exe c:\lorraine.hta c:\lorraine.vxd c:\windows\system\lorraine.exe El archivo con formato HTML, LORRAINE.HTA, contiene referencias al gusano, su autor, y su sitio de Internet. Este archivo es mostrado por el navegador instalado por defecto, cada día 4 de todos los meses: Lorraine Worm [GEDZAC LABS 2003] W32/Lorraine - Gedzac Labs 2003 //***********[GEDZAC LABS 2003]***********// W32/Lorraine by Falckon/GEDZAC wOrm hecho en Delphi 6 Dedicado a mi Lorena Hecho en MéXiKO http://www.viriizone.tk Gedzac Labs Crea las siguientes copias en la carpeta System de Windows ("C:\Windows\System" en Windows 9x/ME, "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003): c:\windows\system\amigos.pif c:\windows\system\amigototote.pif c:\windows\system\amor-por-ti.pif c:\windows\system\antiwinlogon.pif c:\windows\system\antrox.scr c:\windows\system\BigBrother.pif c:\windows\system\bugmsn.pif c:\windows\system\chistesgraficos.pif c:\windows\system\chupamelo.pif c:\windows\system\comotegustan.pif c:\windows\system\CracksPPZ.pif c:\windows\system\cristina-aguilera.pif c:\windows\system\defaced-madonna-site.pif c:\windows\system\eggbrother.exe c:\windows\system\EICAX.COM c:\windows\system\existeee.pif c:\windows\system\financiamiento.pif c:\windows\system\GEDZAC.PIF c:\windows\system\grancarnal.exe c:\windows\system\grande.pif c:\windows\system\hackeahotmail.pif c:\windows\system\historial.pif c:\windows\system\hotmail.pif c:\windows\system\kamasutra.pif c:\windows\system\lacosha@hotmail.com c:\windows\system\LatinCard.pif c:\windows\system\linuxandmicrosoft.pif c:\windows\system\Lorenaaaa.pif c:\windows\system\Madonna_sEXY.pif c:\windows\system\MariaVirgen.pif c:\windows\system\Matrix-Trailer.pif c:\windows\system\mujeres.pif c:\windows\system\Música.pif c:\windows\system\No-Spam.exe c:\windows\system\nuevovirus.txt .pif c:\windows\system\Oradores.pif c:\windows\system\osamabinhuevoback.exe c:\windows\system\parejaideal.txt.pif c:\windows\system\petardas.pif c:\windows\system\porqueteamo.pif c:\windows\system\projimo.pif c:\windows\system\relacionsexual.pif c:\windows\system\resetarios.pif c:\windows\system\SARS.pif c:\windows\system\seguridad_en_hotmail.pif c:\windows\system\serhacker.pif c:\windows\system\Shakira.pif c:\windows\system\solo-a-ti.pif c:\windows\system\Spamno.pif c:\windows\system\teamo.exe c:\windows\system\te-pido.scr c:\windows\system\test-idiota.pif c:\windows\system\testpasion.pif c:\windows\system\thalialoca.pif c:\windows\system\TutorialVBSvirus.pif c:\windows\system\WindowsMediaPlayerBug.pif c:\windows\system\www.mfernanda.com c:\windows\system\www.vsantiviru.com c:\windows\system\www.zonaviru.com c:\windows\system\zorrotttas.pif Modifica el registro para ejecutarse con cada inicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Lorraine = c:\windows\system\Lorraine.exe El gusano intenta propagarse por las siguientes aplicaciones de intercambio de archivos: eDonkey2000 Gnuclues Grokster KaZaa KaZaa Lite Limewire Morpheus Para ello, busca los siguientes directorios: \KaZaA\My Shared Folder\ \edonkey2000\incoming\ \gnucleus\downloads\ \icq\shared files\ \kazaa lite\my shared folders\ \limewire\shared\ \morpheus\my shared folder\ \Grokster\My Grokster\ Y se copia allí más de 400 veces, con diferentes nombres. Básicamente, combina textos como los siguientes: Desnuda en la playa las pelotas de Nude Pic Sexo en la playa con Sexy Beach Sexy Bikini Sumándole a cada uno alguno de los siguientes nombres: Alejandra Guzman Angelica Vale Brenda Britney Spears Cameron dias Celine Dion Francini Galilea Montijo Halle berry Kylie Minogue Laura Pausini Lili Brillanti Lorena Paulina Rubio Pink Shakira Thalia Y la extensión: .gif[varios espacios vacíos].exe También usa esta combinación: Ad-aware Adobe Acrobat Reader (32-bit) AOL Instant Messenger (AIM) Biromsoft WebCam Copernic Agent Delphi 6 Diet Kaza DirectDVD DivX Video Bundle Download Accelerator Plus FireWorks 4 FIreWorks MX Global DiVX Player Grokster ICQ Lite ICQ Pro 2003a beta iMesh JetAudio Basic Kaspersky Antivirus Kazaa Download Accelerator Kazaa Media Desktop Matrix Movie McAfee Antivirus Microsoft Internet Explorer Microsoft Office XP Microsoft Windows 2003 Microsoft Windows Media Player Morpheus msn hack MSN Messenger (Windows NT/2000) Nero Burning ROM NetPumper Network Cable e ADSL Speed Norton Antivirus Office 2003 Panda Antivirus PerAntivirus Pop-Up Stopper QuickTime RealOne Free Player Registry Mechanic SnagIt SolSuite 2003: Solitaire Card Games Suite Spybot - Search & Destroy Trillian Virtual Girl Sofía Visual Studio Net Winamp WinMX WinRAR WinZip WS_FTP LE (32-bit) XoloX Ultra ZoneAlarm Sumándole lo siguiente: .exe crack all versions.exe Cracked.exe Fullversion.exe KeyGen.exe Ejemplos: Ad-aware.exe Adobe Acrobat Reader (32-bit).exe Alejandra Guzman.gif.exe Angelica Vale.gif.exe AOL Instant Messenger (AIM).exe Biromsoft WebCam.exe Brenda.gif.exe Britney Spears.gif.exe Cameron dias.gif.exe Celine Dion.gif.exe Copernic Agent.exe crack all versions.exe Cracked.exe Delphi 6.exe Desnuda en la playa.gif.exe Diet Kaza.exe DirectDVD.exe DivX Video Bundle.exe Download Accelerator Plus.exe FireWorks 4.exe FIreWorks MX.exe Francini.gif.exe Full version.exe Galilea Montijo.gif.exe Global DiVX Player.exe Grokster.exe Halle berry.gif.exe ICQ Lite.exe ICQ Pro 2003a beta.exe iMesh.exe JetAudio Basic.exe Kaspersky Antivirus.exe Kazaa Download Accelerator.exe Kazaa Media Desktop.exe KeyGen.exe Kylie Minogue.gif.exe las pelotas de.gif.exe Laura Pausini.gif.exe Lili Brillanti.gif.exe Lorena.gif.exe Matrix Movie.exe McAfee Antivirus.exe Microsoft Internet Explorer.exe Microsoft Office XP.exe Microsoft Windows 2003.exe Microsoft Windows Media Player.exe Morpheus.exe msn hack.exe MSN Messenger (Windows NT/2000).exe Nero Burning ROM.exe NetPumper.exe Network Cable e ADSL Speed.exe Norton Antivirus.exe Nude Pic.gif.exe Office 2003.exe Panda Antivirus.exe Paulina Rubio.gif.exe PerAntivirus.exe Pink.gif.exe Pop-Up Stopper.exe QuickTime.exe RealOne Free Player.exe Registry Mechanic.exe Sexo en la playa con.gif.exe Sexy Beach.gif.exe Shakira.gif.exe SnagIt.exe SolSuite 2003: Solitaire Card Games Suite.exe Spybot - Search & Destroy.exe Thalia.gif.exe Trillian.exe Virtual Girl Sofía.exe Visual Studio Net.exe Winamp.exe WinMX.exe WinRAR.exe WinZip.exe WS_FTP LE (32-bit).exe XoloX Ultra.exe ZoneAlarm.exe Cualquiera de estos archivos que sea descargado por un usuario de estas redes y luego ejecutado, infectará su equipo. Durante el mes de julio, el gusano puede mostrar dos ventanas con el siguiente texto: Lorraine Worm [GEDZAC LABS 2003] Creado por Falckon/GEDZAC [ OK ] Lorraine Worm [GEDZAC LABS 2003] Dedicado a mi G. Lorena R. S., http://www.vsantivirus.com/renalo.htm [ OK ] En su código pueden verse también estas referencias. El enlace en VSAntivirus.com se refiere a la descripción de un virus anterior supuestamente del mismo autor: Creado por Falckon/GEDZAC. Dedicado a mi G. Lorena R. S. http://www.vsantivirus.com/renalo.htm * Herramienta para quitar el W32/Mapson.A de un sistema infectado Node32 Descargue la utilidad "NoSpam-Trojan cleaner" (295 Kb) descomprímala y ejecútela en su sistema: http://www.nod32.it/tools/NSPCLEAN.ZIP Copyright (c) 2003 Paolo Monti - Future Time S.r.l. * Reparación manual Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: SYSTEMSTART 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Actualizaciones: 08/jun/03 - Alias: I-Worm.Mapson 08/jun/03 - Cambio de nombre a W32/Mapson.A 08/jun/03 - Alias: W32/Lorra.A, Mapson, W32/Mapson, W32/Lorra 08/jun/03 - Alias: Lorraine, W32/Mapson@MM, W32/Lorraine 08/jun/03 - Alias: Win32/Mapson.A 08/jun/03 - Herramienta de limpieza 09/jun/03 - Ampliación de la descripción (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Mofei.A. Se propaga rápidamente en redes _____________________________________________________________ http://www.vsantivirus.com/mofei-a.htm Nombre: W32/Mofei.A Tipo: Gusano de Internet Alias: W32.Femot.Worm, W32/MoFei.worm, WORM_MOFEI.A, W32/Mofei-A, Backdoor.Mofeir.101, WORM_MOFEI.B Fecha: 4/jun/03 Tamaños (bytes): 20,480 (DLL), 42,949 (EXE) Plataforma: Windows 32-bit Puertos: 135, 139 El gusano funciona propagándose a través de recursos compartidos en redes locales, utilizando para ello los puertos 135 y 139, asociados a NetBIOS. También posee características de troyano, con las que habilita múltiples comandos a un usuarios remoto, que podrá ejecutar en la computadora infectada, comprometiendo su seguridad y privacidad. Debido a lo dificultoso de la remoción manual de este gusano, existe al menos una herramienta gratuita proporcionada por Symantec que lo hace en forma automática (ver "Herramientas de limpieza"). El gusano no examina si ya está en memoria, generando múltiples instancias de si mismo, con la consiguiente degradación del rendimiento en el peor de los casos. Mientras está activo en memoria, el gusano también intenta conectarse a las siguientes direcciones IP, cada cierto tiempo, tal vez intentando ataques de denegación de servicio (DoS): 16.138.233.237 (google.ods.org) 218.17.1.109 (windowsupdate.daemon.sh) También intenta conectarse al puerto 8080 de las siguientes direcciones: rsthost1.ods.org rsthost2.ods.org rsthost3.ods.org images.daemon.sh Cuando se ejecuta, se copia en la siguiente ubicación: c:\windows\System32\Scardsvr32.exe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). También libera este archivo: c:\windows\System32\Mofei.cfg De acuerdo al sistema operativo, copia diferentes archivos y realiza los siguientes cambios: * Equipos con Windows 95, 98 o Me. Copia el siguiente archivo: c:\windows\System32\Navpw32.exe Este archivo es un componente troyano. Agrega la siguiente entrada al registro de Windows, para autoejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run NavAgent32 = c:\windows\System32\Navpw32.exe -v * Equipos con Windows NT, 2000 y XP. Crea el siguiente archivo: c:\windows\System32\Scardsvr32.dll Agrega en el registro el servicio "Smart Card Helper", y lo configura para que ejecute el archivo SCARDSVR32.EXE. Este archivo es el componente troyano. HKLM\System\CurrentControlSet\Services\SCardDrv El servicio "Smart Card Helper" es instalado en algunos equipos por defecto. Si ya estuviera instalado en el equipo infectado, el gusano lo reemplaza por el suyo. * Rutina de funcionamiento en Windows NT, 2000 y XP La rutina de propagación solo funciona en Windows NT, 2000 y XP. El gusano intenta conectarse a otras computadoras intentando usar la cuenta del administrador (admin), probando las siguientes contraseñas: stgzs security super oracle secret root admin password passwd pass 88888888 888888 00000000 000000 11111111 111111 111 fan@ing* 54321 654321 12345678 1234567 123456 12345 1234 123 12 También lo intenta con las siguientes direcciones IP: 192.168.0.3 192.168.0.20 164.100.0.0 164.100.255.255 Reitera el intento con los siguientes nombres de cuentas: wachen shhung cesil corden smchou rober hychen flora cthsieh yhchen tcpang Si se conecta, examina si existen los siguientes archivos (%s es el nombre o la dirección IP de la máquina): \\%s\ADMIN$\System32\scardsvr32.exe \\%s\ADMIN$\System32\MoFei.ver Si nos los encuentra, intenta crear los siguientes archivos para agregar e iniciar su servicio infectado: \\%s\ADMIN$\System32\scardsvr32.exe \\%s\ADMIN$\System32\MoFei.VER \\%s\IPC$\System32\scardsvr32.exe \\%s\IPC$\System32\MoFei.VER Si bien en Windows 95, 98 y Me, el gusano no se propaga, si pueden infectarse equipos con estos sistemas. En cualquiera de los dos casos, el gusano habilita las siguientes acciones por parte de un usuario remoto, en la máquina infectada: - Acceso a la línea de comandos de Windows (CMD.exe o command.com) - Ejecutar programas - Borrar o crear archivos y carpetas - Descargar otros archivos de Internet También puede enviar al atacante, esta información de la máquina infectada: Espacio libre (discos) Espacio total (discos) ID del volumen del disco Nombre del volumen Tipo de disco Memoria física disponible Tipo de procesador Dirección IP Nombre de la computadora El troyano también tiene componentes de keylogger (captura y envía lo tecleado por la víctima). Además crea una cuenta llamada "tsinternetuser". Si esta cuenta existe, le cambia la contraseña y la agrega al grupo del administrador local. El gusano también puede inyectar su código en hilos remotos dentro de la ejecución de EXPLORER.EXE y LSASS.EXE. Algunos de esos hilos remotos se encargan del escaneo de puertos de máquinas dentro del rango 192.168.0.x. El gusano puede reiniciar la máquina infectada o borrarse a si mismo. También tiene la capacidad de ser actualizado en forma remota. En su código, puede verse el siguiente texto: MoFei version 1.0.1.0 * Reparación automática Herramienta para quitar el gusano de un sistema infectado Descargue la utilidad "FixFemot.exe" (168 Kb) del enlace en nuestra página y ejecútela en su sistema (Copyright (C) Symantec 2003) * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Remoción del gusano utilizando "Process Explorer" (Windows NT, 2000 y XP) Esta herramienta de uso gratuito "Process Explorer" (100 Kb), puede ser descargada del siguiente enlace: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE. Bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer", localice y "mate" (Kill Process), el siguiente proceso: Smart Card Helper * Remoción manual del proceso (Windows NT, 2000 y XP) Para detener el gusano en memoria siga estos pasos: 1. Pinche en Inicio, y pinche en Ejecutar. 2. Escriba "services.msc" sin las comillas y pulse Enter. 3. Localice y seleccione el servicio "Smart Card Helper". 4. Pinche en Acciones y luego en Propiedades. 5. Pinche en Detener (si es aplicable). 6. Cambie el modo de inicio a Manual. 7. Pinche en Aceptar y cierre la ventana de servicios. 8. Reinicie la computadora. * Antivirus (todos los Windows) 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos (no todos estarán presentes): c:\windows\System32\Scardsvr32.exe c:\windows\System32\Mofei.cfg c:\windows\System32\Navpw32.exe c:\windows\System32\Scardsvr32.dll c:\windows\System32\System32\Mofei.cfg c:\windows\System32\System32\MoFei.ver Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. (Solo Windows 95, 98 y Me). En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: NavAgent32 4. (Solo Windows NT, 2000 y XP). En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services \SCardDrv 5. Pinche en la carpeta "SCardDrv" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1067 Año 7, Lunes 9 de junio de 2003