| Asunto: | VSantivirus No. 2125 Año 10, jueves 4 de mayo de 2006 | | Fecha: | 4 de Mayo, 2006 09:03:31 (+0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 2125 Año 10, jueves 4 de mayo de 2006
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Un virus secuestra documentos a cambio de rescate
2 - Bagle.GC. Gusano de Internet y caballo de Troya
3 - Scano.S. Se propaga por e-mail, abre backdoor
4 - Scano.R. Se inyecta en procesos de Windows
5 - Scano.NAF. Se inyecta en procesos de Windows
6 - Bobax. Se propaga vía redes vía LSASS y por e-mail
_____________________________________________________________
1 - Un virus secuestra documentos a cambio de rescate
_____________________________________________________________
http://www.vsantivirus.com/mm-criptovirus.htm
Un virus secuestra documentos a cambio de rescate
Por Mercè Molist (*)
colaboradores@videosoft.net.uy
Un nuevo tipo de código malicioso, los criptovirus, avanzan
en una lenta pero constante evolución, avisan los expertos.
Se introducen en los ordenadores de la misma forma que el
resto. La diferencia es que no destruyen documentos si no que
los cifran o los hacen inaccesibles y piden un rescate. En
marzo de 2006, aparecía un nuevo espécimen: CryZip, también
llamado Zippo.
Cuando entra en un ordenador, el virus troyano Zippo busca
determinados archivos, como documentos Word, bases de datos u
hojas de cálculo, y los transforma en archivos comprimidos
que precisan una contraseña para acceder a ellos. A cambio de
obtener esta palabra de paso, la víctima deberá pagar 300
dólares a una cuenta.
Estos virus son aún rudimentarios y no fue difícil que la
empresa Sophos, después de analizarlo, descubriese dónde
almacena la contraseña. Su antecesor, PGPCoder, que apareció
en mayo de 2005, también tenía fallos, aunque su concepto
estaba claro: cifraba los documentos y pedía un rescate por
descifrarlos.
La fragilidad de los criptovirus reside en su novedad: no
tienen plantillas en las que basarse, deben ser creados desde
cero, lo que explica los errores iniciales. Según Cristian
Borghello, director técnico de Eset Latinoamérica, "hasta
ahora y por ser los primeros, los métodos de cifrado han sido
sencillos y fácilmente reversibles. Además, el modo de
utilización de cuentas bancarias aún no se ha perfeccionado,
lo que permite rastrearlas de forma sencilla".
Pero los expertos están seguros de su proliferación futura,
al conllevar ganancias económicas, principal motivación de la
mayoría de creadores de virus: "Es fácil imaginar que cuando
se perfeccionen usarán técnicas de cifrado fuertes, lo que
imposibilitará el descifrado de los archivos. Es inevitable
que este sistema de secuestro se perfeccione", explica
Borghello.
El concepto de criptovirus es muy nuevo. Surgió en 1996,
cuando los hermanos Adam y Moti Young desarrollaron la teoría
que aunaba la virología y el cifrado. Permaneció como una
hipótesis de laboratorio hasta que en 2005 apareció PGPCoder.
La única defensa, además de usar antivirus, es realizar
copias periódicas de seguridad.
* Virus para Windows y Linux
En abril de 2006, Kaspersky Lab descubría un nuevo virus,
Bi.a, que infecta ejecutables tanto de Windows como de Linux.
A pesar del revuelo mediático, no es el primer virus de este
tipo. Existían ya Smile o Winux, obra del grupo de creadores
de virus 29A. Todos pruebas de laboratorio, más que virus
reales.
Según Sergio de los Santos, de Hispasec Sistemas, "Bi.a es
bastante inofensivo. Sólo se extiende sobre los archivos del
directorio donde se ha ejecutado, no causa daño y no se auto-
propaga a otros sistemas. No es más que el intento de alguien
por demostrar que pueden existir estos "bichos"".
Su capacidad de infectar Linux es mínima, afirma: "El diseño
de Linux impide casi por definición que un virus pueda
reproducirse fácilmente o que pueda ser ejecutado de forma
inadvertida por el usuario. Los virus para Linux, apenas unas
decenas, poco activos y menos agresivos, han sonado más como
curiosidades que por su capacidad de infección real".
A pesar de ello, Bi.a llamó la atención de Linus Torvalds,
creador de Linux, quien lo examinó para conocer su alcance.
Torvalds descubrió que un error del núcleo del sistema
operativo impedía que el virus pudiese ejecutarse
correctamente. Alertado así por el virus, corrigió el error
del núcleo de Linux. Ahora el núcleo funciona bien y, como
consecuencia paradójica, el virus puede infectarlo.
* Referencias:
El troyano Zippo exige 300 dólares para recuperar datos encriptados
http://esp.sophos.com/pressoffice/news/articles/2006/03/zippo.html
Nuevas formas de hacer dinero ilegal: RansomWare
http://www.nod32-la.com/about/press.php?id=162
Nueva prueba de concepto capaz de infectar a Windows y GNU/Linux
http://www.hispasec.com/unaaldia/2734
Torvalds creates patch for cross-platform virus
http://software.newsforge.com/software/06/04/18/1941251.shtml?tid=78&tid=26
* Relacionados:
Cryzip.A. Pide rescate para recuperar archivos
http://www.vsantivirus.com/cryzip-a.htm
Bi.A. Infecta archivos EXE (Windows) y ELF (Linux)
http://www.vsantivirus.com/bi-a.htm
Troj/Gpcode.B. Inutiliza múltiples archivos
http://www.vsantivirus.com/troj-gpcode-b.htm
Virus: engranajes de una cadena criminal
http://www.vsantivirus.com/mm-engranajes.htm
(*) Copyleft 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any medium, provided this notice is
preserved.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Bagle.GC. Gusano de Internet y caballo de Troya
_____________________________________________________________
http://www.vsantivirus.com/bagle-gc.htm
Nombre: Bagle.GC
Nombre NOD32: Win32/Bagle.GC
Tipo: Caballo de Troya y gusano de Internet
Alias: Bagle.GC, BACKDOOR.Trojan, Email-Worm.Bagle.1,
Heuristic/I-Worm.Win32, TR/Bagle.FZ.3,
Trojan.Downloader.Bagle.AT, Trojan-Downloader.Win32.Bagle.aq,
Win32/Bagle.GC
Fecha: 3/may/06
Plataforma: Windows 32-bit
Tamaño: 14,336 bytes
Se propaga a través de correo electrónico enviado como spam
masivo. Consta de al menos tres componentes diferentes: dos
"downloader" y un "mass-mailer".
El primero es un "downloader", un troyano que descarga otro
de los componentes del gusano, un segundo downloader.
Cuando el segundo downloader se ejecuta, descarga un archivo
de una dirección predeterminada de Internet, y lo almacena en
la carpeta del sistema con un nombre al azar, para luego
ejecutarlo.
Este archivo (el "mass-mailer"), se encarga de propagar al
gusano a través de mensajes de correo electrónico.
Cuando el gusano es abierto y ejecutado por el usuario, el
mismo crea los siguientes archivos en el sistema:
c:\windows\system32\wintems.exe
c:\windows\system32\ban_list.txt
[TEMP]\ole320
NOTA 1: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
NOTA 2: [TEMP] puede ser "c:\windows\temp", "c:\winnt\temp",
o "c:\documents and settings\[usuario]\local settings\temp",
de acuerdo al sistema operativo.
Para autoejecutarse en cada reinicio del sistema, crea las
siguientes entradas:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
german.exe = "c:\windows\system32\wintems.exe"
También genera la siguiente entrada para almacenar datos de
su propia configuración:
HKCU\Software\DateTime4
port = [valor]
uid = [valor]
wdrn = [valor]
Cada vez que se ejecuta, el troyano se contacta con los
siguientes sitios enviando información a un script CGI sobre
el equipo infectado (tipo de conexión, sistema operativo,
puerto, hora local, etc.), para luego intentar descargar y
ejecutar otros archivos:
http: // avistrade .ru/
http: // mir-vesov .ru/
http: // monomah-city .ru/
http: // pvcps .ru/
http: // roszvetmet .com/
http: // schiffsparty .de/
http: // service6 .valuehost .ru/
http: // stroyindustry .ru/
http: // vladzernoproduct .ru/
http: // www .13tw22rigobert .de/
http: // www .deadlygames .de/
http: // www .emil-zittau .de/
http: // www .etype .hostingcity .net/
http: // www .levada .ru/
http: // www .mirage .ru/
http: // www .ordendeslichts .de/
http: // 8marta .ru/
http: // asvt .ru/
http: // calimasurf .com/
http: // celebrationsinspain .com/
http: // coral-adventures .com/
http: // dearruthie .com/
http: // dmax .ru/
http: // efpa-eg .net/
http: // ferrumcomp .ru/
http: // financialbusiness .ca/
http: // golden-ring .net/
http: // goodbathscents .com/
http: // jamminjo .com/
http: // kmold .biz/
http: // kokon .com/
http: // komt .ru/
http: // magian .ru/
http: // merkur-akademie .de/
http: // nakorable .ru/
http: // optimsasia .com/
http: // raz-naraz .wz .cz/
http: // redshop .ru/
http: // sdom .ru/
http: // spbso .ru/
http: // tarkan .ru/
http: // transaerotours .ru/
http: // www .ipromocionales .com/
http: // www .katjas-reisen .de/
http: // www .moscowapartments .ru/
http: // www .pechki .ru/
http: // www .rhone .ch/
http: // www .zdom .ru/
Intenta finalizar todos los procesos activos con los
siguientes nombres (la mayoría antivirus y cortafuegos):
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
a2guard.exe
aavshield.exe
AckWin32.exe
ADVCHK.EXE
AhnSD.exe
airdefense.exe
ALERTSVC.EXE
ALMon.exe
ALOGSERV.EXE
ALsvc.exe
amon.exe
Anti-Trojan.exe
AntiVirScheduler
AntiVirService
ANTS.EXE
APVXDWIN.EXE
Armor2net.exe
ashAvast.exe
ashDisp.exe
ashEnhcd.exe
ashMaiSv.exe
ashPopWz.exe
ashServ.exe
ashSimpl.exe
ashSkPck.exe
ashWebSv.exe
aswUpdSv.exe
ATCON.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
avciman.exe
Avconsol.exe
AVENGINE.EXE
avgamsvr.exe
avgcc.exe
AVGCC32.EXE
AVGCTRL.EXE
avgemc.exe
avgfwsrv.exe
AVGNT.EXE
avgntmgr
AVGSERV.EXE
AVGUARD.EXE
avgupsvc.exe
avinitnt.exe
AvkServ.exe
AVKService.exe
AVKWCtl.exe
AVP32.EXE
avpcc.exe
avpm.exe
AVPUPD.EXE
AVSCHED32.EXE
avsynmgr.exe
AVWUPD32.EXE
AVWUPSRV.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
BackWeb-4476822.exe
bdmcon.exe
bdnews.exe
bdoesrv.exe
bdss.exe
bdsubmit.exe
bdswitch.exe
blackd.exe
blackice.exe
cafix.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccSetMgr.exe
CFIAUDIT.EXE
ClamTray.exe
ClamWin.exe
Claw95.exe
Claw95cf.exe
cleaner.exe
cleaner3.exe
CliSvc.exe
CMGrdian.exe
DefWatch.exe
DOORS.EXE
DrVirus.exe
drwadins.exe
drweb32w.exe
drwebscd.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
ewidoctrl.exe
EzAntivirusRegistrationCheck.exe
F-AGNT95.EXE
FAMEH32.EXE
FAST.EXE
FCH32.EXE
FireSvc.exe
FireTray.exe
FIREWALL.EXE
fpavupdm.exe
F-PROT95.EXE
freshclam.exe
fsav32.exe
fsavgui.exe
fsbwsys.exe
F-Sched.exe
fsdfwd.exe
FSGK32.EXE
fsgk32st.exe
fsguiexe.exe
FSM32.EXE
FSMA32.EXE
FSMB32.EXE
fspex.exe
fssm32.exe
F-StopW.EXE
gcasDtServ.exe
gcasServ.exe
GIANTAntiSpywareMain.exe
GIANTAntiSpywareUpdater.exe
GUARD.EXE
GUARDGUI.EXE
GuardNT.exe
HRegMon.exe
Hrres.exe
HSockPE.exe
HUpdate.EXE
iamapp.exe
iamserv.exe
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
INETUPD.EXE
InocIT.exe
InoRpc.exe
InoRT.exe
InoTask.exe
InoUpTNG.exe
IOMON98.EXE
isafe.exe
ISATRAY.EXE
ISRV95.EXE
ISSVC.exe
JEDI.EXE
kavmm.exe
KAVPF.exe
KavPFW.exe
KAVStart.exe
KAVSvc.exe
KAVSvcUI.EXE
KMailMon.EXE
KPfwSvc.EXE
KWatch.EXE
livesrv.exe
LOCKDOWN2000.EXE
LogWatNT.exe
lpfw.exe
LUALL.EXE
LUCOMSERVER.EXE
Luupdate.exe
MCAGENT.EXE
mcmnhdlr.exe
mcregwiz.exe
Mcshield.exe
MCUPDATE.EXE
mcvsshld.exe
MINILOG.EXE
MONITOR.EXE
MonSysNT.exe
MOOLIVE.EXE
MpEng.exe
mpssvc.exe
MSMPSVC.exe
myAgtSvc.exe
myagttry.exe
navapsvc.exe
NAVAPW32.EXE
NavLu32.exe
NAVW32.EXE
NDD32.EXE
NeoWatchLog.exe
NeoWatchTray.exe
NISUM.EXE
NMAIN.EXE
nod32.exe
nod32krn.exe
nod32kui.exe
NORMIST.EXE
notstart.exe
npavtray.exe
NPFMNTOR.EXE
npfmsg.exe
NPROTECT.EXE
NSCHED32.EXE
NSMdtr.exe
NssServ.exe
NssTray.exe
ntrtscan.exe
NTXconfig.exe
NUPGRADE.EXE
NVC95.EXE
Nvcod.exe
Nvcte.exe
Nvcut.exe
NWService.exe
OfcPfwSvc.exe
OUTPOST.EXE
PavFires.exe
PavFnSvr.exe
Pavkre.exe
PavProt.exe
pavProxy.exe
pavprsrv.exe
pavsrv51.exe
PAVSS.EXE
pccguide.exe
PCCIOMON.EXE
pccntmon.exe
PCCPFW.exe
PcCtlCom.exe
PCTAV.exe
PERSFW.EXE
pertsk.exe
PERVAC.EXE
PNMSRV.EXE
POP3TRAP.EXE
POPROXY.EXE
prevsrv.exe
PsImSvc.exe
QHM32.EXE
QHONLINE.EXE
QHONSVC.EXE
QHPF.EXE
qhwscsvc.exe
RavMon.exe
RavTimer.exe
Realmon.exe
REALMON95.EXE
Rescue.exe
rfwmain.exe
Rtvscan.exe
RTVSCN95.EXE
RuLaunch.exe
SAVAdminService.exe
SAVMain.exe
savprogress.exe
SAVScan.exe
SCAN32.EXE
ScanningProcess.exe
sched.exe
sdhelp.exe
SERVIC~1.EXE
SHSTAT.EXE
SiteCli.exe
SNDSrvc.exe
SPBBCSvc.exe
SPHINX.EXE
spiderml.exe
spidernt.exe
Spiderui.exe
SpybotSD.exe
SPYXX.EXE
SS3EDIT.EXE
stopsignav.exe
swAgent.exe
swdoctor.exe
SWNETSUP.EXE
symlcsvc.exe
SymProxySvc.exe
SymSPort.exe
SymWSC.exe
SYNMGR.EXE
TAUMON.EXE
TBMon.exe
TDS-3.EXE
TeaTimer.exe
TFAK.EXE
THAV.EXE
THSM.EXE
Tmas.exe
tmlisten.exe
Tmntsrv.exe
TmPfw.exe
tmproxy.exe
TNBUtil.exe
TRJSCAN.EXE
Up2Date.exe
UPDATE.EXE
UpdaterUI.exe
upgrepl.exe
Vba32ECM.exe
Vba32ifs.exe
vba32ldr.exe
Vba32PP3.exe
VBSNTW.exe
vcrmon.exe
vchk.exe
VetTray.exe
VirusKeeper.exe
VPTRAY.EXE
vrfwsvc.exe
VRMONNT.EXE
vrmonsvc.exe
vrrw32.exe
VSECOMR.EXE
Vshwin32.exe
vsmon.exe
vsserv.exe
VsStat.exe
WATCHDOG.EXE
WebProxy.exe
Webscanx.exe
WEBTRAP.EXE
WGFE95.EXE
Winaw32.exe
winroute.exe
winss.exe
winssnotify.exe
WRADMIN.EXE
WRCTRL.EXE
xcommsvr.exe
zatutor.exe
ZAUINST.EXE
zlclient.exe
zonealarm.exe
También intenta detener los siguientes servicios relacionados
con software de seguridad:
Aavmker4
ADBLOCK.DLL
ADFirewall
Ahnlab task Scheduler
AlertManger
AntiVir Service
AntiyFirewall
aswUpdSv
Ati HotKey Poller
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
AVEService
AVExch32Service
Avg7Alrt
Avg7Core
Avg7RsXP
Avg7UpdSvc
AVGFwSrv
AvgFwSvr
AVIRAMailService
AVIRAService
AVUPDService
AVWUpSrv
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
Bdfndisf
BlackICE
BsFileSpy
BsFirewall
BsMailProxy
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
CONTENT.DLL
DefWatch
DNSCACHE.DLL
drwebnet
ewido security suite control
ewido security suite driver
ewido security suite guard
firewall
F-Prot Antivirus Update Monitor
F-Secure Gatekeeper Handler Starter
FTPFILT.DLL
FwcAgent
Guard NT
HTMLFILT.DLL
HTTPFILT.DLL
IMAPFILT.DLL
Ip6FwHlp
KAVMonitorService
KLBLMain
KWatchSvc
MAILFILT.DLL
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
Microsoft NetWork FireWall Services
MonSvcNT
MpfService
navapsvc
Network Associates Log Service
NNTPFILT.DLL
NOD32ControlCenter
NOD32krn
NOD32Service
Norman NJeeves
Norman Type-R
Norman ZANDA
Norton AntiVirus Server
NPDriver
NPFMntor
NProtectService
NVCScheduler
NWService
OfcPfwSvc
Outbreak Manager
Outpost Firewall
OutpostFirewall
PAVAGENTE
PavAtScheduler
PAVFIRES
PAVFNSVR
PavPrSrv
PavReport
Personal Firewall
POP3FILT.DLL
PROTECT.DLL
qhwscsvc
Quick Heal Online Protection
RfwService
SBService
SECRET.DLL
SharedAccess
SharedAccess
SmcService
SPBBCSvc
SpiderNT
SweepNet
SWEEPSRV.SYS
Symantec AntiVirus Client
Symantec Core LC
The_Hacker_Antivirus
V3MonSvc
Vba32ECM
Vba32ifs
Vba32Ldr
Vba32PP3
VBCompManService
VexiraAntivirus
VisNetic AntiVirus Plug-in
WinAntivirus
WinRoute
wscsvc
wuauserv
wuauserv
Para no autoejecutarse más de una vez, crea el siguiente
mutex:
555
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\DateTime4
3. Haga clic en la carpeta "DateTime4" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
6. Cierre el editor del registro.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Cómo rehabilitar el servicio SharedAccess (Windows 2000 y
XP):
Este servicio habilita la resolución de nombres y direcciones
para todos los equipos de red doméstica o pequeña oficina, y
es usado para la conexión compartida a Internet, y por el
firewall (cortafuego) de Windows XP.
Para rehabilitar este servicio, siga estos pasos:
- En Windows XP Service Pack 2:
Cuando este servicio es detenido, un mensaje de atención
(globo de texto) advierte que se desconoce el estado del
firewall. Para rehabilitarlo, siga estos pasos:
1. Desde Inicio, Panel de control, seleccione el "Centro de
seguridad".
2. Si el Firewall aparece como desactivado, haga clic en la
leyenda "Firewall de Windows" (abajo) y marque la opción
"Activado (recomendado)".
3. Seleccione "Aceptar", etc.
- En Windows 2000, Windows XP, Windows XP SP1:
1. En Inicio, Ejecutar, escriba "services.msc" y pulse Enter.
2. En la columna "Nombre" busque "Conexión de seguridad a
Internet (ICF)/Conexión compartida a Internet (ICS)" (en
Windows XP), o solo "Conexión compartida a Internet (ICS)"
(en Windows 2000).
3. Haga doble clic sobre ese nombre, y en "Tipo de inicio:",
seleccione "Automático"
4. En la misma ventana, "Estado del servicio:", haga clic en
"Iniciar"
5. Pinche en "Aceptar", etc.
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Scano.S. Se propaga por e-mail, abre backdoor
_____________________________________________________________
http://www.vsantivirus.com/scano-s.htm
Nombre: Scano.S
Nombre NOD32: Win32/Scano.S
Tipo: Gusano de Internet
Alias: Scano.S, Email-Worm.Win32.Scano.s, W32/Areses.h,
W32/Bagle-IV, W32/Scano.E@mm, W32/Scano.G, Win32.HLLM.Perf,
Win32.Scano.R@mm, Win32/Areses.K, Win32/Scano, Win32/Scano.S
Fecha: 4/may/06
Plataforma: Windows 32-bit
Tamaño: 18,580 bytes
Puede enviarse a todas las direcciones de correo obtenidas de
diferentes archivos de la máquina infectada. En todos los
casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera
(backdoor).
Se propaga en mensajes con las siguientes características:
De: [usuario falsificado]
Asunto: [un texto con caracteres al azar]
Texto del mensaje: [textos al azar]
Datos adjuntos: [nombre al azar].???
Donde ".???" puede ser una de las siguientes extensiones:
.avi
.cab
.doc
.mpeg
.txt
Cuando se ejecuta, crea los siguientes archivos, ambos copias
de si mismo (el ZIP contiene el ejecutable):
c:\windows\csrss.exe
[TEMP]\message.zip
NOTA 1: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
NOTA 2: [TEMP] puede ser "c:\windows\temp", "c:\winnt\temp",
o "c:\documents and settings\[usuario]\local settings\temp",
de acuerdo al sistema operativo.
Crea o modifica las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[valor] = "c:\windows\csrss.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Image File Execution Options\explorer.exe
Debugger = "c:\windows\csrss.exe"
Al ejecutarse, intenta inyectarse en los siguientes procesos
legítimos de Windows:
svchost.exe
services.exe
Las direcciones que utiliza para propagarse, son obtenidas de
archivos de la máquina infectada, de todos los discos duros,
con las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.dhtml
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.mra
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Ignora direcciones de correo que contengan las siguientes
cadenas:
---
..
.0
.00
.1
.2
.3
.4
.5
.6
.7
.8
.9
.gif
.qmail
@.
@avp.
@example
@foo
@iana
@messagelab
@microsoft
@subscribe
-0
0000
2003
2004
2005
2006
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
Mailer-Daemon@
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
spm111@
support
torvalds@
unix
update
winrar
winzip
El gusano puede abrir una puerta trasera en un puerto TCP
seleccionado al azar.
Intenta conectarse a los siguientes servidores, para enviar
un archivo creado en la carpeta TEMP:
http: // 85 .249 .23 .35/
http: // 207 .46 .250 .119/
http: // 84 .22 .161 .192/
El archivo se encuentra en la siguiente ubicación:
\TEMP\~tmp.htm
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
Luego del envío, intenta finalizar todas las instancias del
Internet Explorer que se estén ejecutando.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Image File Execution Options
\explorer.exe
5. Haga clic en la carpeta "explorer.exe" y bórrela.
6. Cierre el editor del registro.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Scano.R. Se inyecta en procesos de Windows
_____________________________________________________________
http://www.vsantivirus.com/scano-r.htm
Nombre: Scano.R
Nombre NOD32: Win32/Scano.R
Tipo: Gusano de Internet
Alias: Scano.R, Email-Worm.Win32.Scano.r, I-Worm/Generic.JS,
Suspect.Zip, W32.Beagle.EG@mm, W32/Areses.h,
W32/Areses.M.worm, W32/Bagle-Zip, W32/Scano.E@mm,
W32/Scano.r, Win32.HLLM.Perf, Win32/Scano.R, Worm.Scano.r
Fecha: 4/may/06
Plataforma: Windows 32-bit
Tamaño: 18,892 bytes
Puede enviarse a todas las direcciones de correo obtenidas de
diferentes archivos de la máquina infectada. En todos los
casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera
(backdoor).
Se propaga en mensajes con las siguientes características:
De: [usuario falsificado]
Asunto: [un texto con caracteres al azar]
Texto del mensaje: [textos al azar]
Datos adjuntos: [uno de los siguientes]
Archive.zip
backup.zip
confidential.zip
COOL.zip
Document.zip
File.zip
Fotos.zip
images.zip
Important.zip
Message.zip
New.zip
Passwords.zip
private.zip
README.zip
Readme.zip
secret.zip
your_documents.zip
El archivo .ZIP contiene uno de los siguientes ejecutables:
Archive.exe
backup.exe
confidential.exe
COOL.exe
Document.exe
File.exe
Fotos.exe
images.exe
Important.exe
Message.exe
New.exe
Passwords.exe
private.exe
README.exe
Readme.exe
secret.exe
your_documents.exe
Cuando se ejecuta, se copia en la carpeta de Windows con el
siguiente nombre:
c:\windows\csrss.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
También crea el siguiente archivo ZIP, conteniendo una copia
ejecutable de si mismo:
%USERPROFILE%\Local Settings\Temp\Message.zip
NOTA: En Windows XP, %USERPROFILE% corresponde a la siguiente
carpeta:
C:\Documents and Settings\[nombre de usuario]
Cuando se ejecuta, examina si alguna de las ventanas abiertas
contiene algunas de las siguientes cadenas en su nombre:
TMsgEditor
ATH_Note
Si esto se cumple, el gusano intenta inyectar la cadena con
el camino del gusano más la pulsación de la tecla Enter, en
dicha ventana. Esto puede ocasionar que en determinadas
circunstancias, el archivo MESSAGE.ZIP sea enviado como
adjunto en un correo o mensaje electrónico.
Crea las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Application = "c:\windows\csrss.exe"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Devices
Application = "[valor]"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Image File Execution Options\explorer.exe
Debugger = "c:\windows\csrss.exe"
También puede modificar la siguiente entradas en el registro,
la que utiliza como marcador:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Devices
(Predeterminado) = [valor]
Donde [valor] es uno de los siguientes:
"olo"
"lolx"
Al ejecutarse, intenta inyectarse en los siguientes procesos
legítimos de Windows:
svchost.exe
services.exe
Las direcciones que utiliza para propagarse, son obtenidas de
archivos de la máquina infectada, de todos los discos duros,
con las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.dhtml
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.mra
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Ignora direcciones de correo que contengan las siguientes
cadenas:
---
..
.0
.00
.1
.2
.3
.4
.5
.6
.7
.8
.9
.gif
.qmail
@.
@avp.
@example
@foo
@iana
@messagelab
@microsoft
@subscribe
-0
0000
2003
2004
2005
2006
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
Mailer-Daemon@
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
spm111@
support
torvalds@
unix
update
winrar
winzip
El gusano puede abrir una puerta trasera en un puerto TCP
seleccionado al azar.
Intenta conectarse a los siguientes servidores, para enviar
un archivo creado en la carpeta TEMP:
http: // 85 .249 .23 .35/
http: // 207 .46 .250 .119/
http: // 84 .22 .161 .192/
El archivo se encuentra en la siguiente ubicación:
\TEMP\~tmp.htm
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
Luego del envío, intenta finalizar todas las instancias del
Internet Explorer que se estén ejecutando.
También intenta borrar las siguientes entradas:
HKLM\SYSTEM\ControlSet002\Control
\Session Manager\PendingFileRenameOperations
HKLM\SYSTEM\ControlSet002\Control
\Session Manager\BootExecute
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Devices
3. Haga clic en la carpeta "Devices" y en el panel de la
derecha, busque y borre todas las entradas que coincidan con
la siguiente lista:
(Predeterminado) = "olo"
(Predeterminado) = "lolx"
Application = "[valor]"
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Image File Execution Options
\explorer.exe
7. Haga clic en la carpeta "explorer.exe" y bórrela.
8. Cierre el editor del registro.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Scano.NAF. Se inyecta en procesos de Windows
_____________________________________________________________
http://www.vsantivirus.com/scano-naf.htm
Nombre: Scano.NAF
Nombre NOD32: Win32/Scano.NAF
Tipo: Gusano de Internet
Alias: Scano.NAF, Email-Worm.Win32.Scano.v, I-
Worm/Generic.JU, W32.Areses.A@mm, W32/Areses.h,
W32/Scano.E@mm, Win32/Scano, Win32/Scano.NAF
Fecha: 4/may/06
Plataforma: Windows 32-bit
Tamaño: 18,548 bytes
Puede enviarse a todas las direcciones de correo obtenidas de
diferentes archivos de la máquina infectada. En todos los
casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera
(backdoor).
Se propaga en mensajes con las siguientes características:
De: [usuario falsificado]
Asunto: [un texto con caracteres al azar]
Texto del mensaje: [textos al azar]
Datos adjuntos: [nombre al azar].???
Donde ".???" puede ser una de las siguientes extensiones:
.avi
.cab
.doc
.mpeg
.txt
Los mensajes pueden contener contenido variable, obtenido de
la siguiente dirección:
http: // rss .cnn .com/rss/
Cuando se ejecuta, se copia en la carpeta de Windows con el
siguiente nombre:
c:\windows\csrss.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
Crea las siguientes entradas en el registro, para
autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Devices
explorer.exe = "explorer.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Image File Execution Options\explorer.exe
Debugger = [camino al troyano]
Al ejecutarse, intenta inyectarse en los siguientes procesos
legítimos de Windows:
svchost.exe
services.exe
Las direcciones que utiliza para propagarse, son obtenidas de
archivos de la máquina infectada, de todos los discos duros,
con las siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.dhtml
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Ignora direcciones de correo que contengan las siguientes
cadenas:
---
..
.0
.00
.1
.2
.3
.4
.5
.6
.7
.8
.9
.qmail
@.
@avp.
@example.
@foo
@hotmail
@iana
@messagelab
@microsoft
@msn
@subscribe
-0
0000
2003
2004
2005
2006
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
Mailer-Daemon@
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
spm111@
support
torvalds@
unix
update
winrar
winzip
El gusano puede abrir una puerta trasera en un puerto TCP
seleccionado al azar.
Intenta conectarse a los siguientes servidores, para enviar
un archivo creado en la carpeta TEMP:
http: // 85 .249 .23 .35/
http: // 207 .46 .250 .119/
http: // 84 .22 .161 .192/
El archivo se encuentra en la siguiente ubicación:
\TEMP\~tmp.htm
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
Luego del envío, intenta finalizar todas las instancias del
Internet Explorer que se estén ejecutando.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Devices
3. Haga clic en la carpeta "Devices" y en el panel de la
derecha busque y borre la siguiente entrada:
explorer.exe = "explorer.exe"
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Image File Execution Options
\explorer.exe
5. Haga clic en la carpeta "explorer.exe" y bórrela.
6. Cierre el editor del registro.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
6 - Bobax. Se propaga vía redes vía LSASS y por e-mail
_____________________________________________________________
http://www.vsantivirus.com/bobax.htm
Nombre: Bobax
Nombre NOD32: Win32/Bobax
Tipo: Gusano de Internet y caballo de Troya
Alias: Bobax, Win32/Bobax, Win32/Bobax.AH, Win32/Bobax.AI,
Win32/Bobax.AJ, Win32/Bobax.AK, Win32/Bobax.AL,
Win32/Bobax.AM, Win32/Bobax.AN, Win32/Bobax.AQ,
Win32/Bobax.AR, Win32/Bobax.AS, Win32/Bobax.AT,
Win32/Bobax.drp.gen, Win32/Bobax.E, Win32/Bobax.I,
Win32/Bobax.NAI, Win32/Bobax.NAJ, Win32/Bobax.NAK,
Win32/Bobax.P, Win32/Bobax.Q, Win32/Bobax.R, Win32/Bobax.S,
Win32/Bobax.T, Win32/Bobax.U, Win32/Bobax.V, Win32/Bobax.Y
Fecha: 16/may/04
Actualizado: 3/may/06
Plataforma: Windows 32-bit
Gusano que se propaga como adjunto en un mensaje de correo
electrónico. Para ello utiliza su propio motor SMTP.
También utiliza la vulnerabilidad en LSASS.EXE de Windows XP
y 2000, infectando equipos con Windows XP y 2000 sin el
parche correspondiente instalado.
El gusano examina rangos de direcciones IP en busca de
máquinas vulnerables. Si las encuentra, explota un
desbordamiento de búfer en el componente LSASS.EXE para crear
en el equipo remoto un shell (consola de comandos), que
utilizará para descargarse y luego ejecutarse en él. En
ocasiones esto ocasiona un fallo en LSASS.EXE que reiniciará
al equipo.
Cuando se ejecuta, crea el siguiente archivo:
c:\windows\system32\[nombre al azar].exe
Crea las siguientes entradas en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = "c:\windows\system32\[nombre al azar].exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
[nombre al azar] = "c:\windows\system32\[nombre al azar].exe"
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000).
Modifica el archivo HOSTS para que múltiples sitios
relacionados con antivirus y otras aplicaciones de seguridad,
no puedan ser accedidos desde una máquina infectada.
Intenta deshabilitar aplicaciones antivirus y los mensajes
del "Centro de seguridad" de Windows XP SP2, configurando las
siguientes entradas del registro:
HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusOverride = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
FirewallOverride = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify = "dword:00000001"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\DomainProfile
EnableFirewall = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\DomainProfile
DoNotAllowExceptions = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
DoNotAllowExceptions = "dword:00000000
Además, intentará descargar de Internet algunos archivos no
maliciosos.
Cuando el gusano se ejecuta, no es visible en la lista de
procesos, ya que se inserta en el mismo proceso del Explorer.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* IMPORTANTE:
Si no lo ha hecho, descargue y ejecute este parche antes de
proceder al resto de la limpieza:
MS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htm
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Security Center
7. Haga clic en la carpeta "Security Center" y en el panel de
la derecha, bajo la columna "Datos", busque y cambie los
valores para las siguientes entradas del registro, de modo
que todas valgan "0":
AntiVirusDisableNotify = 0
AntiVirusOverride = 0
FirewallDisableNotify = 0
FirewallOverride = 0
UpdatesDisableNotify = 0
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
\Parameters
\FirewallPolicy
\DomainProfile
9. Haga clic en la carpeta "DomainProfile" y en el panel de
la derecha, borre las siguientes entradas:
EnableFirewall
DoNotAllowExceptions
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
\Parameters
\FirewallPolicy
\StandardProfile
11. Haga clic en la carpeta "StandardProfile" y en el panel
de la derecha, bajo la columna "Datos", busque y cambie los
valores para las siguientes entradas del registro, de modo
que queden con los siguientes:
EnableFirewall = 1
DoNotAllowExceptions = 0
12. Cierre el editor del registro.
13. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones de
la mayoría de los fabricantes son diarias. No existen los
"virus demasiados nuevos y sin antídotos", la reacción de las
casas de antivirus es inmediata en todos los casos. Pero
mejor pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 2125 Año 10, jueves 4 de mayo de 2006
|
VSantivirus No. 21
Responder a este mensaje
