Mostrando mensaje 1128     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 2076 Año 10, jueves 16 de marzo de 2006 Fecha: Jueves, 16 de Marzo, 2006  04:50:22 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 2076 Año 10, jueves 16 de marzo de 2006 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Descarga de troyano en falso mensaje de Microsoft 2 - Escalada de privilegios en ZoneAlarm (TrueVector) 3 - Zippo.10. Pide rescate para recuperar archivos 4 - Riler.NAA. Troyano que abre una puerta trasera 5 - Spy.Banker.NHQ. Roba información de cuentas bancarias _____________________________________________________________ 1 - Descarga de troyano en falso mensaje de Microsoft _____________________________________________________________ http://www.vsantivirus.com/phis-banker-150306.htm Descarga de troyano en falso mensaje de Microsoft Por Angela Ruiz angela@videosoft.net.uy La familia de los Spy.Banker, son troyanos que intentan robar información relacionada con las transacciones comerciales y bancarias del usuario infectado. Es común que se utilicen diversas clases de mensajes para engañar a las víctimas, y obligarlas a descargar el troyano propiamente dicho. La mayoría de estos mensajes están relacionados con tarjetas de saludo electrónicas, aunque también se utilizan mensajes como falsas invitaciones para servicios como Windows Live Mail (ver "Falsa invitación a Windows Live Mail propaga troyano", http://www.vsantivirus.com/phis-wlm-banker-260105.htm) El mensaje que aquí mostramos, también simula ser enviado por Microsoft (el remitente falso es patch @ microsoft.com.br). Como curiosidad, menciona justamente ser una actualización para "software de bancos", realizado en conjunto con SUN Microsystems "creadora del software Java Applet" (sic), y tiene el descaro de afirmar que el parche que sugiere descargar "permite realizar sus transacciones con más seguridad y sin peligro de virus espía". Por supuesto, si usted hace clic en el enlace que el mensaje muestra, lo que descargará es una variante del Spy.Banker (que NOD32 detecta como Win32/Spy.Banker.AHY). [imagen en http://www.vsantivirus.com/phis-banker-150306.htm] Cómo siempre decimos: jamás abra adjuntos no solicitados ni tampoco haga clic o descargue software de enlaces en mensajes que usted no pidió. Este es el texto del mensaje falso: --- Comienzo del mensaje --- Ação imediata necessária! Leia este aviso com atenção. Prezado cliente: Pensando em você, a Microsoft Corporation lança a primeira atualização do Windows 98/ME/XP para softwares de bancos que em parceria com a SUN Microsystems criadora do software Java Applet, desenvolveu esse patch para que você realize suas transações com mais segurança e sem perigo de virus espiões. Visando diminuir um problema em vários paises que é discursão em todo mundo. Download patch. Tamanho do arquivo: 312KB Atendendo á milhares de pedidos de usuários, em 2006 sua vida financeira estará 100% segura. Parceria: Banco do Brasil, Banco Bradesco, Banco Itaú, HSBC Bank Brasil S.A., Caixa Economica Federal, entre outros milhões de bancos. Observação: não responda a esta mensagem. Microsoft Corporation, pensando em você. ------------------------------------------------------ www.microsoft.com --- Final del mensaje --- * Más información: Spy.Banker.AHY. Roba información de cuentas bancarias http://www.vsantivirus.com/spy-banker-ahy.htm * Relacionados: Falsa invitación a Windows Live Mail propaga troyano http://www.vsantivirus.com/phis-wlm-banker-260105.htm Falso boletín de seguridad que descarga un troyano http://www.vsantivirus.com/21-12-05.htm Falso anuncio de parche acumulativo de Microsoft http://www.vsantivirus.com/20-05-05.htm ¿Un mensaje de Microsoft con adjuntos?. ¡Cuidado! http://www.vsantivirus.com/lz-ms-adjuntos.htm Falso boletín de seguridad de Microsoft http://www.vsantivirus.com/30-06-05.htm Falso parche de seguridad de Microsoft (Explorer.exe) http://www.vsantivirus.com/phishing-security-bugfix-3435.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Escalada de privilegios en ZoneAlarm (TrueVector) _____________________________________________________________ http://www.vsantivirus.com/vul-zonealarm-100306.htm Escalada de privilegios en ZoneAlarm (TrueVector) Por Angela Ruiz angela@videosoft.net.uy ZoneLabs ha confirmado la existencia de una vulnerabilidad en ZoneAlarm, la cuál podría ser explotada por usuarios malintencionados para poder elevar sus privilegios y ejecutar código malicioso. El problema lo ocasiona un error en el archivo del servicio TrueVector (VSMON.EXE), el monitor de Internet de este cortafuegos (y su principal componente). Cuando el servicio TrueVector se ejecuta, lo hace en una cuenta local con privilegios de sistema. ZoneAlarm carga múltiples bibliotecas (DLLs) como parte de su proceso de inicio, lo que sucede siempre por defecto cada vez que un usuario inicia Windows. En algunos casos, las DLL pueden no estar presentes en una determinada instalación, pero serán buscadas de todas maneras por el programa. Si alguna de las DLL requeridas aparece en alguno de los directorios examinados, ZoneAlarm las cargará con los mismos privilegios de sistema que tiene VSMON. Un atacante puede colocar una DLL maliciosa en algún directorio que aparezca en el camino antes de la carpeta del propio ZoneAlarm, logrando que se pueda llegar a ejecutar con los mayores privilegios. Este tipo de vulnerabilidad puede afectar a cualquier programa que se ejecute con privilegios de sistema y que cargue bibliotecas de forma dinámica buscando en el path que lleva a su propia ubicación. Para que esta explotación tenga éxito, el usuario debe primero colocar una DLL maliciosa en alguna carpeta que cumpla las condiciones antes mencionadas. Tenga en cuenta que para que eso ocurra, la computadora debe haber sido comprometida antes por alguna otra clase de ataque (troyano, etc.) También podría utilizarse ingeniería social para convencer a la víctima a que ella misma coloque la mencionada DLL en el lugar adecuado. La vulnerabilidad no puede ser explotada de forma remota. * Software afectado: - ZoneAlarm 6.x (y posiblemente anteriores) * Solución: No se conocen soluciones para este problema al momento de publicarse esta alerta. ZoneLabs anunció que está trabajando en una actualización o parche que resuelva este problema, y que la misma será liberada apenas sea debidamente probada. * Referencias: ZoneAlarm TrueVector Service Local Privilege Escalation Vulnerability http://www.frsirt.com/english/advisories/2006/0947 Statement Regarding Reported Local Escalation of Privileges Vulnerability for ZoneAlarm http://www.frsirt.com/english/reference/7141 18 ways to escalate privileges in Zone Labs ZoneAlarm Security Suite build 6.1.744.000 http://www.frsirt.com/english/reference/7064 Página principal de ZoneAlarm http://www.zonelabs.com/ * Créditos: Reed Arvin (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Zippo.10. Pide rescate para recuperar archivos _____________________________________________________________ http://www.vsantivirus.com/zippo-10.htm Nombre: Zippo.10 Nombre NOD32: Win32/Zippo.10 Tipo: Caballo de Troya Alias: Zippo.10, Troj/Zippo-A, TROJ_CRYZIP.A, Virus.Win32.Zippo.10, Win32/Zippo.10 Fecha: 12/mar/06 Plataforma: Windows 32-bit Tamaño: 1,191,936 bytes Caballo de Troya que al ejecutarse, comprime y encripta con contraseña, todos los archivos de ciertas extensiones y con permisos de lectura y escritura, en todas las unidades de disco que sean accesibles. Luego, crea en todas las carpetas donde haya encriptado algún archivo, un texto en el que pide al usuario una determinada cantidad de dinero a cambio de desencriptar los archivos para poder recuperarlos. La contraseña que el troyano utiliza (que nunca es mostrada al usuario), es la siguiente (sin las comillas): "C:\Program Files\Microsoft Visual Studio\VC98" Cuando se ejecuta por primera vez, crea el siguiente archivo temporal en todas las unidades de disco: ZIPPO_CRYPTOR.ZIP También inyecta su componente DLL en todas las aplicaciones que se estén ejecutando. Luego, busca archivos con las siguientes extensiones: .arh .arj .asm .bas .c .cdr .cgi .cpp .chm .db .db1 .db2 .dbf .dbt .dbx .doc .dpr .dsw .frm .frt .frx .gtd .gz .gzip .jpg .key .kwm .lst .man .mdb .mmf .mo .old .p12 .pak .pas .pdf .pgp .pl .pwl .pwm .rar .rtf .safe .tar .txt .xls .xml .zip Todos los archivos encontrados, son comprimidos en un archivo .ZIP con la contraseña ya mostrada al comienzo de esta descripción. Los nuevos archivos tendrán el mismo nombre más la cadena "_CRYPT_.ZIP": [nombre de archivo]_CRYPT_.ZIP El contenido de los archivos originales será suplantado por el siguiente texto: Erased by Zippo! GO OUT!!! También creará en cada carpeta donde haya actuado, el siguiente archivo: AUTO_ZIP_REPORT.TXT Este archivo contiene un texto con las instrucciones para que la víctima pague al creador del troyano una determinada cifra a los efectos de poder desencriptar y volver a utilizar sus archivos. El texto es el siguiente: OUR E-GOLD ACCOUNT: [número de cuenta] INSTRUCTIONS HOW TO GET YUOR FILES BACK READ CAREFULLY. IF YOU DO NOT UNDERSTAND, READ AGAIN. This is automated report generated by auto archiving software. Your computer catched our software while browsing illigal porn pages, all your documents, text files, databases was archived with long enought password. You can not guess the password for your archived files - password lenght is more then 10 symbols that makes all password recovery programs fail to bruteforce it (guess password by trying all possible combinations). Do not try to search for a program what encrypted your information - it is simply do not exists in your hard disk anymore. If you really care about documents and information in encrypted files you can pay using electonic currency $300. Reporting to police about a case will not help you, they do not know password. Reporting somewhere about our e-gold account will not help you to restore files. This is your only way to get yours files back. ------------------------------ How to pay to get your information back. 1. click on this link to open your free e-gold account - the first screen is the e-gold "terms and conditions" page. You need to agree to these by clicking on the "I AGREE" button on the bottom on the page. 2. On the next page is the sign up form: 1. "Account name" - here is where you name your account - tip: make it easy to remember (as you will be asked for it) and reasonably short, example, "John's e-gold", "My Money e-gold" or perhaps "Felix" (whatever you like, just make it easy for you to remember it). 2. "User Name" - here just repeat the account name (from 1 above). 3. "Point of Contact" - this is where you put our name, address, phone number and email address (any email address can be used here but it is recommended you use your ISP address - not a free hotmail, etc address). It is also recommended your also include a fax number (don't have a fax number? This company offers free fax to email services). Try and make it as easy as possible for e-gold to contact you. 4. "Passphrase" - this is the most important piece of information connected to any e-gold account. We can not stress enough how important it is that your passphrase is kept safe and secure. 5. "Turing Number Entry" - type the 6 numbers you see there into the input box below. 6. The last step click "Open" On the next page it will tell you that your e-gold account number has been emailed to you. check your email - you can expect to wait up to 5 minutes for your account number to arrive. If it does not arrive after 5 minutes then that means the email address you supplied was incorrect and you will have to open another new account (go through and repeat what you just did above again). To buy e-gold to your account please use official exchange services http: // www.me-gold .com/ http: // www.goldex .net/ http: // usece .com/ or try to search own way with http: // gold-pages .net/e- Gold__1MDC__Pecunix_Wizard_Links/Purchase_E- gold/index.html http: // www.google .com/search? hl=en&q=buy+e-gold&btnG=Google+Search FINALLY when you bought e-gold you have to transfer $300 to our e-gold account. In next 24 hours you will recieve $1 back to your account. Transfer details of this $1 transfer will have a link to software that will automatically unzip all your files back to normal state. Next day login to your account https: // www.e- gold .com/acct/login.html, press History and press submit, you will see LINK TO UNZIP-software. ####################################################### Remember you are just $300 away from your files ####################################################### Básicamente, este texto le informa al usuario que para recuperar los documentos encriptados y toda su valiosa información, deberá pagar de forma electrónica unos 300 dólares (a través de E-Gold), y que el aviso a la policía del caso, no lo ayudará. El troyano también intentará borrar otros archivos. NOTA: E-gold.com es un sitio dedicado al manejo de transacciones comerciales. Dicho sitio suspendió todas las cuentas que el creador del troyano pensaba utilizar para recibir los pagos por el rescate de los archivos. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * IMPORTANTE: Si el troyano pudo ejecutarse y encriptar sus archivos, usted puede recuperarlos, si cuando se le pide una contraseña para abrir los archivos .ZIP creados, ingresa la siguiente (sin las comillas): "C:\Program Files\Microsoft Visual Studio\VC98" * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Riler.NAA. Troyano que abre una puerta trasera _____________________________________________________________ http://www.vsantivirus.com/riler-naa.htm Nombre: Riler.NAA Nombre NOD32: Win32/Riler.NAA Tipo: Caballo de Troya de acceso remoto Alias: Riler.NAA, BackDoor.Nuge, Generic.QLZ, Trj/Downloader.HXF, Troj/Riler-O, Trojan.Riler, Trojan.Riler.O, Trojan.Riler.o, Trojan.Win32.Riler.o, Trojan/Riler.o, W32/Bcbdll!tr, Win32/Riler.NAA Fecha: 3/mar/06 Plataforma: Windows 32-bit Tamaño: 83,810 bytes Caballo de Troya que abre una puerta trasera (backdoor), en los equipos infectados. Este componente intenta conectarse a un determinado sitio para recibir comandos de un usuario remoto (el sitio podría variar). Cuando se ejecuta, crea los siguientes archivos: c:\windows\system32\netsrv16.dll c:\windows\system32\sporder.dll c:\windows\system32\winmedl.dll c:\windows\system32\winssi.exe Donde NETSRV16.DLL contiene código malicioso y es parte del troyano. SPORDER.DLL es un archivo del sistema que no contiene código malicioso, pero es usado por el troyano para su propio funcionamiento. WINMEDL.DLL es un archivo de texto encriptado, que contiene la dirección a la que debe conectarse. WINSSI.EXE es el ejecutable propiamente dicho del troyano. NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). El troyano también crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SynUSB Manager = "rundll32.exe netsrv16.dll,RunDll32" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows DisplayLog = "1" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Window AppInit_Dlls = "netsrv16.dll" El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P. Generalmente es liberado desde un archivo HTML o CHM malicioso. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Windows 3. Haga clic en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: DisplayLog = "1" AppInit_Dlls = "netsrv16.dll" 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: SynUSB Manager = "rundll32.exe SynUSB.dll,RunDll32" 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama (la carpeta WS2IFSL puede no existir): HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \WS2IFSL 7. Haga clic en la carpeta "WS2IFSL" y bórrela. 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Spy.Banker.NHQ. Roba información de cuentas bancarias _____________________________________________________________ http://www.vsantivirus.com/spy-banker-nhq.htm Nombre: Spy.Banker.NHQ Nombre NOD32: Win32/Spy.Banker.NHQ Tipo: Caballo de Troya Alias: Banker.NHQ, Spy.Banker.NHQ, Backdoor.Win32.Rbot.AEU, Logger.Banker.awa, PSW.Banker.XWA, Spy/Banker, TR/Spy.Banker.hhh, Troj/Bnkmr-Fam, Trojan.Banker.Delf.6E2FFA83, Trojan.PWS.Banker.based, Trojan.Spy.Banker.Awa, Trojan.Spy.Win32.Banker, Trojan/Banker.Delf.6E2FFA83, Trojan/Spy.Banker.awa, Trojan- Spy.Win32.Banker.awa, W32/Suspicious_U.gen, Win32/Spy.Banker.NHQ Fecha: 14/mar/06 Plataforma: Windows 32-bit Tamaño: 486,776 bytes (PE_PATCH, UPACK, PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT) Troyano que intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado. Puede ser descargado por otros troyanos. Cuando se ejecuta, examina si ya ha sido instalado en la máquina actual. Si no existe, crea uno o varios archivos en la siguiente ubicación: c:\windows\system32\[nombre de archivo] NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Crea la siguiente entrada en el registro de Windows, para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [valor] = c:\windows\system32\[nombre de archivo] Donde [valor] es un nombre al azar. El troyano permanece en memoria y monitorea las ventanas del navegador abiertas por el usuario. Cuando éste accede a determinadas páginas, pertenecientes a instituciones bancarias, captura la salida del teclado, capturando datos críticos, como por ejemplo nombre de usuario, datos de tarjetas de créditos, números de cuentas bancarias, y todo lo que el usuario ingrese en cualquier formulario dentro de varios sitios. La información capturada es almacenada en un archivo que luego será enviado a una dirección electrónica predeterminada. El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P. Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios. * Reparación manual * Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. 5. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 2076 Año 10, jueves 16 de marzo de 2006