Mostrando mensaje 1159     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 2107 Año 10, domingo 16 de abril de 2006 Fecha: 16 de Abril, 2006  07:03:31 (+0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 2107 Año 10, domingo 16 de abril de 2006 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Microsoft informa de problemas con últimos parches 2 - Lupar.A. Se propaga vía recursos compartidos y P2P 3 - TrojanDropper.Agent.AMI. Se propaga por e-mail 4 - PcClient.OQ. Permite acceso remoto, instala rootkit _____________________________________________________________ 1 - Microsoft informa de problemas con últimos parches _____________________________________________________________ http://www.vsantivirus.com/ev-ms06-013-ms06-015.htm Microsoft informa de problemas con últimos parches Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ Microsoft publicó este sábado (15/abr/06), dos artículos en su base de conocimiento (Microsoft Knowledge Base), relacionados con problemas en dos de sus más recientes actualizaciones de seguridad, ambas publicadas el pasado martes 11, la MS06-013 y la MS06-015. * Problemas con el parche MS06-015 La vulnerabilidad corregida por el parche MS06-015, está relacionada con el Explorador de Windows. Según explica Microsoft en su artículo 912812 (http://support.microsoft.com/kb/912812), luego de la instalación de este parche, los usuarios del software "Share- to-Web" de Hewlett-Packard y los de "Kerio Personal Firewall" de Sunbelt, pueden experimentar algunos de los siguientes problemas: - No se puede tener acceso a carpetas especiales similares a "Mis documentos" o "Mis imágenes". - Las aplicaciones de Microsoft Office pueden dejar de responder al intentar guardar o abrir archivos de Office en la carpeta "Mis documentos". - Los archivos de Office de la carpeta "Mis documentos" no pueden ser abiertos en Microsoft Office. - Abrir un archivo mediante el menú "Archivo", "Abrir", puede hacer que el programa deja de responder. - Escribir una dirección en la barra de direcciones del Explorer no tiene ningún efecto. - Hacer clic con el botón secundario sobre un archivo y seleccionar "Enviar a...", no tiene ningún efecto. - Hacer clic en el signo (+) para desplegar una carpeta en el Explorador de Windows no tiene ningún efecto. - Algunas aplicaciones de terceros dejan de responder al abrir o guardar datos en la carpeta "Mis documentos". Según Microsoft, la causa se encuentra en el archivo VERCLSID.EXE, agregado por esta actualización. VERCLSID.EXE fue creado para validar las extensiones del shell antes que la interfase de comandos o el propio Explorador de Windows procesen las ordenes o archivos correspondientes. El problema se produce cuando en algunos equipos, VERCLSID.EXE deja de responder. El SHELL interpreta y activa los comandos o utilidades introducidos por el usuario, sirviendo de interfase entre el sistema y aquél. En Windows, el Explorador (EXPLORER.EXE), es el shell propiamente dicho (el escritorio de Windows), que suministra además de las funciones básicas de comunicación (interfase de usuario), todo lo relacionado con la organización de archivos y carpetas y permite la comunicación de todos estos componentes con las diferentes aplicaciones y programas. * Problemas con "Share-to-Web" de Hewlett-Packard En el caso del software "Share-to-Web" de Hewlett-Packard, se produce una incompatibilidad con el componente HPGS2WND.EXE, incluido en PhotoSmart de HP, en cualquier impresora HP DeskJet que incluya un lector de tarjetas, en escáneres, algunas grabadoras y reproductoras de CD y DVD, y en cámaras HP. La solución indicada por Microsoft para el caso del software "Share-to-Web" de HP, es un poco complicada para usuarios con poca experiencia, y consiste en incluir esta aplicación en una lista blanca (white list). Cualquier extensión en dicha lista, no será analizada por VERCLSID.EXE. La lista se encuentra en una clave del registro. En el caso concreto de la utilidad de Hewlett-Packard, el procedimiento sugerido por Microsoft es el siguiente (tenga en cuenta que cualquier modificación en el registro puede ser riesgosa si no se siguen los pasos cuidadosamente): 1. Inicie sesión en el equipo con una cuenta que tenga privilegios de administrador. 2. Haga clic en el botón Inicio y a continuación, haga clic en Ejecutar. 3. Escriba REGEDIT y a continuación, haga clic en Aceptar o pulse ENTER. 4. Seleccione la siguiente rama del registro: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Shell Extensions \Cached 5. Haga clic con el botón secundario en la carpeta "Cached", seleccione "Nuevo", haga clic en "Valor DWORD" y a continuación, escriba lo siguiente (todo en una sola línea, con espacios entre "...FDA9} [espacio] {0002..." y entre "...046} [espacio] 0x401": {A4DF5659-0801-4A60-9607-1C48695EFDA9} {000214E6-0000-0000- C000-000000000046} 0x401 6. Introduzca "1" (sin comillas" en "Información del valor" 7. Cierre el Editor del Registro. 8. Utilice el Administrador de tareas (CTRL+ALT+SUPR) para terminar el proceso VERCLSID.EXE o reinicie el equipo. Microsoft indica que este mismo procedimiento puede seguirse con cualquier otro control de terceros que presente ese mismo problema, aunque por el momento no se sabe de ninguna otra aplicación o extensiones de shell que lo tenga. * Problemas con Sunbelt Kerio Personal Firewall El problema con el cortafuegos de Kerio (Sunbelt Kerio Personal Firewall), se debe a que esta aplicación posee una característica que pide la aprobación del usuario cuando cualquier aplicación intenta iniciar otro programa o aplicación diferente. Kerio detecta cuando VERCLSID.EXE intenta ejecutar EXPLORER.EXE, y detiene el proceso hasta que el usuario haga clic a través de un cuadro de diálogo de notificación. Los usuarios pueden configurar Kerio para permitir que VERCLSID.EXE se ejecute sin preguntar. * Problemas con el parche MS06-013 También el parche MS06-013, una actualización acumulativa del Internet Explorer, ha provocado algunos problemas y ciertas críticas respecto a la funcionalidad del mismo. Microsoft publica un artículo, en el que afirma que esto puede ocurrir en aquellos sitios Web que no utilizan las técnicas recomendadas. En esos casos, cuando se cargan ciertos controles ActiveX en una página Web, estos controles pueden no ser enmascarados correctamente por la nueva funcionalidad agregada por esta actualización. Cuando Windows determina que existe un control inactivo, el sistema pregunta al usuario antes de que se cargue el control. Concretamente, la actualización MS06-013, agrega una funcionalidad que hace que los clientes pueden interactuar con aquellos controles ActiveX que se cargan en determinadas páginas Web, después de que activan su interfase de usuario manualmente, en lugar de hacer clic en esta interfase o de utilizar la tecla TAB y ENTER (seleccionar el contenido, pulsar TAB y sin soltarla pulsar ENTER o SPACE). Según Microsoft, este parche contiene una actualización de ActiveX para Internet Explorer, que pretende ayudar a los clientes empresariales que necesitan más tiempo para prepararse para la actualización de ActiveX descrita en el artículo 912945 de la base de conocimientos de Microsoft. Tan pronto como se haya implementado, la revisión de compatibilidad revertirá temporalmente la funcionalidad de los controles ActiveX en Internet Explorer a su estado anterior. Funcionará hasta que se publique una actualización de seguridad de Internet Explorer como parte del ciclo de actualizaciones de junio. En ese momento, los cambios en la forma en que Internet Explorer maneja los controles ActiveX serán permanentes. * Las verdaderas razones del cambio, un juicio perdido En el artículo 912945 (http://support.microsoft.com/kb/912945), se explica que se cambia la manera en que Internet Explorer controla algunas páginas Web y programas que usan controles ActiveX, como Adobe Reader, Apple QuickTime Player, Macromedia Flash, Reproductor de Windows Media de Microsoft, Real Networks RealPlayer, Sun Java Virtual Machine. Después de instalar esta actualización, no se podrá interactuar con controles ActiveX desde determinadas páginas Web hasta que estos controles estén habilitados. Para habilitar un control ActiveX, se debe hacer clic manualmente en una ventana emergente. Pero también existen técnicas que pueden usar los programadores de páginas Web para actualizar sus sitios a las normas de seguridad correctas, sin que el usuario deba pasar por todo este proceso. Microsoft no explica que estos cambios están relacionados con un problema legal con Eolas Technologies, y un pleito perdido en 2003, que obliga al gigante informático a cambiar la funcionalidad de su navegador. La perdida de este litigio, obliga a que los usuarios de Internet Explorer deban ser recibidos por un cuadro de diálogo especial cada vez que visiten un sitio provisto de objetos ActiveX, para que escapen a la definición de "automático". Esto significa, por ejemplo, que no se ejecutará la música o el contenido flash de forma automática. * Problemas con "Siebel 7" de Oracle Por el momento, los problemas ocasionados por ahora con el parche MS06-013, parecen afectar solo a los usuarios de "Siebel 7" de Oracle Corp. Se trata de un cliente Web basado en un navegador y una interfase de usuario, utilizada para usos corporativos y de comercio electrónico. Oracle anunció que el problema será corregido en mayo. No se han reportado otras incompatibilidades. * Relacionados: Problemas en Explorador de Windows después de instalar actualización MS06-015 http://support.microsoft.com/kb/918165 MS06-013: Actualización de seguridad acumulativa para Internet Explorer http://support.microsoft.com/kb/912812 Actualización de ActiveX para Internet Explorer http://support.microsoft.com/kb/912945 IE patch breaks Siebel client ActiveX fix made in response to 2003 court ruling may render Siebel software unusable http://ww6.infoworld.com/products/print_friendly.jsp? link=/article/06/04/14/77461_NNiepatch_1.html Corregida la vulnerabilidad createTextRange (CVE-2006-1359) http://www.enciclopediavirus.com/noticias/verNoticia.php?id=629 Boletines de seguridad de Microsoft abril 2006 http://www.vsantivirus.com/vulms06-abr.htm MS06-013 Actualización acumulativa para IE (912812) http://www.vsantivirus.com/vulms06-013.htm MS06-015 Vulnerabilidad en Windows Explorer (908531) http://www.vsantivirus.com/vulms06-015.htm * Más información: EN LA RED: Quien a hierro mata... http://www.vsantivirus.com/20m24-10-03.htm Microsoft deberá modificar IE drásticamente http://www.vsantivirus.com/dt08-10-03.htm Internet de tierra de nadie, a tierra de patentes http://www.vsantivirus.com/lz-patentes.htm Macromedia prepara a usuarios para cambios en IE http://www.vsantivirus.com/dt29-10-03.htm (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=630 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Lupar.A. Se propaga vía recursos compartidos y P2P _____________________________________________________________ http://www.vsantivirus.com/lupar-a.htm Nombre: Lupar.A Nombre NOD32: MSIL/Lupar.A Tipo: Gusano de Internet Alias: Lupar.A, MSIL.Lupar.A, MSIL/Lupar.A, P2P- Worm.MSIL.Lupar.a, WORM_LUPAR.A Fecha: 13/abr/06 Actualizado: 15/abr/06 Plataforma: Windows 32-bit (.NET Framework 2.0) Tamaño: 49,152 bytes Gusano programado en Microsoft Intermediate Language (MSIL) de .NET, que afecta a equipos con Microsoft Windows con .NET Framework 2.0 instalado. En la práctica eso también incluye Windows Mobile (dispositivos móviles como Pocket PC (computadoras de bolsillo), agendas digitales personales (PDA), teléfonos móviles, etc.). El gusano es capaz de propagarse por recursos compartidos en redes y a través de redes de intercambio de archivos entre usuarios (P2P). Al ejecutarse, se copia con el siguiente nombre en carpetas seleccionadas al azar: PARVULUS.EXE Crea un archivo de texto con nombre al azar, en la carpeta del sistema. Allí almacena la siguiente información del equipo infectado: - Fecha y hora de la ejecución del gusano - Sistema Operativo y versión instalada en el equipo - Nombre de la computadora - Nombre del usuario actual - Nombre del host - Dirección IP del equipo Estos datos pueden ser enviados a un usuario remoto. También crea una serie de subcarpetas en la carpeta del sistema, cada una de ellas con una letra del nombre PARVULUS: c:\windows\system32\p\a\r\v\u\l\u\s\ NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). También agrega la siguiente entrada en el registro, para almacenar información propia: HKCU\Software\Retro Para propagarse por redes (incluyendo Internet), crea copias de si mismo, con nombres al azar, en los recursos compartidos por defecto. También se copia con nombres al azar, en las carpetas compartidas por defecto de los siguientes programas Peer-To- Peer (P2P): Bear Share KaZaa Limewire Crea y ejecuta un servidor FTP en el equipo infectado, el cuál contiene una copia de si mismo con el nombre de PARVULUS.EXE. Este servidor permite el acceso al equipo de un atacante remoto, sin el conocimiento del usuario. El gusano también es capaz de cerrar el sistema sin ningún aviso, interrumpiendo las actividades del usuario. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus 1. Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". 2. Borre la carpeta "P" y todas sus subcarpetas (\a\r\v\u\l\u\s\), en System o System32: c:\windows\system32\P\a\r\v\u\l\u\s\ 3. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Retro 3. Haga clic en la carpeta "Retro" y bórrela. 4. Cierre el editor del registro. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - TrojanDropper.Agent.AMI. Se propaga por e-mail _____________________________________________________________ http://www.vsantivirus.com/trojandropper-agent-ami.htm Nombre: TrojanDropper.Agent.AMI Nombre NOD32: Win32/TrojanDropper.Agent.AMI Tipo: Gusano y caballo de Troya Alias: TrojanDropper.Agent.AMI, Dropper.Agent.ami, Dropper.Generic.EUL, Email-Worm.Win32.Bagle.fy, TR/Drop.Agent.ami.5, Trojan.DR.Agent.BHA, Trojan.Dropper.Agent-16, Trojan.Proxy.Agent.JP, Trojan/Drop.Agent.ami.5, TrojanDropper.Win32.Agent, Trojan- Dropper.Win32.Agent.ami, W32.Beagle.EA@mm, W32/Agent.AMI!tr, W32/Areses.a@MM, W32/Bagle-GN, Win32.HLLM.Perf, Win32/TrojanDropper.Agent.AMI Fecha: 11/abr/06 Actualizado: 15/abr/06 Plataforma: Windows 32-bit Tamaño: 23,648 bytes; 23,540 bytes (variable) Gusano que se propaga por correo electrónico. Posee un componente troyano que descarga y ejecuta otros malwares. Tiene varias similitudes con la familia de los Bagles. Se propaga en mensajes con las siguientes características: De: [usuario falsificado] Asunto: [un texto en caracteres cirílicos] En equipos con Windows en idiomas diferentes al ruso, el asunto se mostrará con caracteres sin sentido, tales como los siguientes: =?koi8-r?Q?=F0=D2=C9=D7=C5=D4=2C=CB=C1=CB=C9=C5_ =CE=CF=D7=CF=D3=D4=C9=3F?= =?koi8-r?Q?=F4=D9_=D3=C5=C7=CF=C4=CE=D1_=CB=CF_ =CD=CE=C5_=D0=D2=C9=C5=C4?= =?koi8-r?Q?=C5=DB=D8=3F?= =?koi8-r?Q?=F1_=D4=C5=C2=D1_=D3=C5=C7=CF=C4=CE=D1_ =D7=C9=C4=C5=CC=C1?= Texto del mensaje: [caracteres cirílicos] Datos adjuntos: [uno de los siguientes] new.cab me.cab you.cab cool.cab Re.cab El archivo .CAB (cabinet, un formato comprimido propietario de Microsoft), contiene un archivo con uno de los nombres del .CAB y alguna de las siguientes extensiones dobles separadas por espacios: [nombre].cab .cpl [nombre].doc .cpl [nombre].txt .cpl [nombre].avi .cpl [nombre].mpeg .cpl Cuando se ejecuta, crea los siguientes archivos: c:\windows\csrss.exe c:\windows\system32\ntsys.exe Crea o modifica las siguientes entradas en el registro: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Devices HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\explorer.exe Debugger = "c:\windows\csrss.exe" El troyano intenta descargar e instalar versiones actualizadas de si mismo de sitios predefinidos en su código: http: // 207 .46 .250 .119/g/ http: // 84 .22 .161 .192/s/ http: // 85 .249 .23 .35/m2/ Para propagarse, obtiene direcciones electrónicas de archivos de la máquina infectada que tengan las siguientes extensiones: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml Evita aquellas direcciones que contengan algunas de las siguientes cadenas de texto: @avp. @foo @hotmail @iana @messagelab @microsoft @msn abuse admin anyone@ bsd bugs@ cafee certific contract@ feste free-av f-secur gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support unix update winrar winzip El gusano puede abrir la siguiente dirección de Internet: http: // www .nahuy .com Si ya existe una versión del gusano ejecutándose en el equipo, abrirá el bloc de notas. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows NT \CurrentVersion \Devices 3. Haga clic en la carpeta "Devices" y en el panel de la derecha, busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Image File Execution Options \explorer.exe 5. Haga clic en la carpeta "explorer.exe" y bórrela. 6. Cierre el editor del registro. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - PcClient.OQ. Permite acceso remoto, instala rootkit _____________________________________________________________ http://www.vsantivirus.com/pcclient-oq.htm Nombre: PcClient.OQ Nombre NOD32: Win32/PcClient.OQ Tipo: Caballo de Troya Alias: PcClient.OQ, Win32/PcClient.OQ Fecha: 11/abr/06 Tamaño: 30 Kb aprox. Puertos: TCP 6868 y 7777 Caballo de Troya que abre una puerta trasera en el equipo infectado, permitiendo el acceso de un atacante remoto. También posee un rootkit que hace invisible su actividad en el equipo, así como oculta las carpetas, archivos, entradas en el registro y procesos activos creados por él mismo. Cuando se ejecuta, crea las carpetas "@@@", "@@@\plugins" y los siguientes archivos: [carpeta de windows]\@@@\plugins [carpeta de windows]\@@@\___.exe [carpeta de windows]\@@@\mydll.exe [carpeta de windows]\@@@\win32.exe [carpeta de windows]\win32log.dat [carpeta del sistema]\[nombre variable].d1l [carpeta del sistema]\drivers\[nombre variable].sys [TEMP]\~$~MS?????.doc [TEMP]\~MS?????.doc También puede crear los siguientes archivos: [Archivos de programa]\[nombre variable].dll [Archivos de programa]\[nombre variable].dl1 [Archivos de programa]\[nombre variable].sys Donde [nombre variable] es un nombre de 8 caracteres al azar, y "?????" también son caracteres al azar. NOTA 1: [carpeta de windows] puede ser una de las siguientes: "c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc. NOTA 2: [carpeta del sistema] puede ser "c:\windows\system32" en Windows XP y Windows Server 2003, "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME. NOTA 3: [TEMP] puede ser "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. NOTA 4: [Archivos de programa] puede ser la carpeta "c:\archivos de programa" o "c:\program files" Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Microsoft = "[carpeta de windows]\@@@\win32.exe" HKLM\SYSTEM\CurrentControlSet\Services\dmserver\Parameters ServiceDll = "[carpeta del sistema]\[nombre variable].d1l" También crea un servicio con el mismo [nombre variable]. Para ello genera las siguientes entradas en el registro: HKLM\SYSTEM\CurrentControlSet \Services\[nombre variable] HKLM\SYSTEM\CurrentControlSet \Enum\Root\LEGACY_[nombre variable] También inyecta el archivo "[nombre variable].d1l" en el mismo proceso del Internet Explorer. Inicia el archivo "[nombre variable].sys", que es el rootkit que oculta la presencia del troyano (archivos, carpetas, entradas en el registro y lista de procesos). El troyano puede capturar los títulos de las ventanas abiertas por el usuario, e interceptar todas los datos ingresados a través del teclado. Esta información es guardada en el siguiente archivo: [carpeta de windows]\@@@\[fecha].txt Abre una puerta trasera por los puertos TCP 6868 y 7777, quedando luego a la espera de instrucciones de un usuario remoto. El atacante podrá realizar cualquiera de las siguientes acciones entre otras, sin el conocimiento del usuario: - Abrir un shell a través de CMD.EXE o COMMAND.COM - Abrir y cerrar la bandeja de la lectora de CD - Acceder a la información guardada por el propio troyano - Descargar, subir a Internet y ejecutar archivos - Enviar correo electrónico - Obtener información de la red - Obtener información del sistema También puede acceder a un servidor remoto vía HTTP. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \dmserver \Parameters 5. Haga clic en la carpeta "Parameters" y asegúrese que la entrada "ServiceDll" tenga el siguiente valor: ServiceDll = "%SystemRoot%\System32\dmserver.dll" 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 2107 Año 10, domingo 16 de abril de 2006