Mostrando mensaje 148     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1099 Año 7, Viernes 11 de julio de 2003 Fecha: Viernes, 11 de Julio, 2003  05:35:29 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1099 Año 7, Viernes 11 de julio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Parches para dos fallos críticos en Win XP, 2000 y NT 2 - Mafia de las tarjetas estafa a clientes de Caixa Galicia 3 - Tras un pirata informático 4 - España: Congreso aprueba una modificación de la LOPD 5 - W32/Gant.E. Elimina antivirus, roba contraseñas 6 - W32/Jantic.A. Destructivo gusano que obliga a reinstalar _____________________________________________________________ 1 - Parches para dos fallos críticos en Win XP, 2000 y NT _____________________________________________________________ http://www.vsantivirus.com/vulms03-024-25.htm Parches para dos fallos críticos en Win XP, 2000 y NT Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Dos nuevos boletines de seguridad, han sido publicados por Microsoft, a escasas 24 horas de una actualización crítica para todas las versiones soportadas de Windows. Estos nuevos boletines (MS03-024 y MS03-25), describen dos vulnerabilidades que comprometen también al sistema operativo. Uno, es un desbordamiento de búfer que puede corromper los datos del usuario, además de permitir que un atacante pueda llegar a ejecutar código a su elección. Afecta a los usuarios de Windows NT, 2000 y XP. El otro, solo afecta a Windows 2000, y permite a un atacante la elevación de privilegios por medio del uso malintencionado de su herramienta de accesibilidad. El reciente Service Pack 4 de esta versión de Windows, incluye dicho parche. * Boletín de seguridad MS03-024: Desbordamiento de búfer en protocolo SMB podría corromper datos Este fallo afecta a los usuarios de Windows NT, Windows 2000, y Windows XP, y permite a un atacante ejecutar código a su elección. El protocolo SMB (Server Message Block), permite que los usuarios de Windows puedan compartir archivos, impresoras, puertos seriales, además de poder intercambiar mensajes entre computadoras. En un entorno de redes, los clientes realizan solicitudes SMB a los servidores que proporcionan los recursos. Un fallo en la forma en que el servidor valida los parámetros de los paquetes de información SMB, permite que un cliente informe de un búfer más pequeño que el que correspondería al tamaño real de los datos enviados, causando el desbordamiento del búfer en el servidor (más datos de los esperados). Enviando solicitudes SMB construidas maliciosamente, un atacante puede provocar la corrupción de datos en el servidor, la falla del sistema, o incluso la ejecución de código seleccionado por el atacante. El atacante necesita tener una cuenta de usuario válida y autenticarse en el servidor para explotar la falla, pero esta cuenta podría ser robada por otros procedimientos. Esta falla no afecta a Windows Server 2003, y no puede ser explotada por un usuario anónimo. Se recomienda bloquear los puertos 139 y 445 con un cortafuegos para prevenir la posibilidad de un ataque desde Internet. Disponibilidad del parche y más información (ver "Patch availability" y "Download locations for this patch"), en el siguiente enlace: http://www.microsoft.com/technet/security/bulletin/ms03-024.asp * Boletín de seguridad MS03-025: Elevación de privilegios con herramienta de accesibilidad en Windows 2000 Windows 2000 (como otros Windows), ofrece soporte para mejorar la accesibilidad a las diferentes funciones del sistema operativo. Estas formas de acceso pueden habilitarse o deshabilitarse en forma directa, o desde la "Herramienta de Accesibilidad" (Accessibility Utility Manager). Esta herramienta permite comprobar el estado de los programas asociados, tales como la herramienta de ampliación, el teclado en pantalla, cursores de mouse de alta visibilidad, etc.. Además, permite ejecutar o detener desde allí a cualquiera de dichas utilidades. Existe una falla en la manera en que la "Herramienta de Accesibilidad" maneja los mensajes de Windows, los que no son validados correctamente. Los "mensajes de Windows" proporcionan una forma para que los procesos interactivos reaccionen a los eventos del usuario (por ejemplo, a las pulsaciones del teclado o los movimientos del ratón), y pueden influir en como se comunican con otros procesos interactivos. Puede hacerse que un proceso en el escritorio interactivo (el área de pantalla visualizada por el usuario), utilice mensajes específicos que hagan que la "Herramienta de Accesibilidad" responda con sus funciones a direcciones determinadas, seleccionadas por el proceso. Debido que esta utilidad se ejecuta con un nivel de privilegio alto (en forma local), el proceso que provoca la ejecución adquiere estos privilegios. Un atacante podría ejecutar un programa que envíe mensajes modificados de Windows a la "Herramienta de Accesibilidad", pudiendo incluso tomar el control total del sistema. El ataque no puede explotarse en forma remota, y el atacante debe utilizar otras técnicas para logearse en el sistema en forma interactiva. Solo la versión Windows 2000 de la herramienta de accesibilidad es vulnerable. La falla está corregida en el Service Pack 4 de Windows 2000. Más información: http://www.microsoft.com/technet/security/bulletin/ms03-025.asp Relacionados: Disponible Service Pack 4 en español para Windows 2000 http://www.vsantivirus.com/sp4-w2000.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Mafia de las tarjetas estafa a clientes de Caixa Galicia _____________________________________________________________ http://www.vsantivirus.com/11-07-03c.htm Mafia de las tarjetas estafa a clientes de Caixa Galicia Por Carlosues carlosues@videosoft.net.uy Se trata de una mafia internacional que se encarga de piratear tarjetas de crédito. Con esta técnica han gastado el dinero de cientos de clientes de Caixa Galicia titulares de una tarjeta Visa. Ha sido en los últimos días cuando las personas afectadas han presentado sus denuncias, ya que en sus extractos aparecían cargos asociados a sus tarjetas sobre compras realizadas en Malasia, Melbourne, Sudáfrica, Venezuela y Estados Unidos, lugares en los que los titulares de las mismas no habían estado. El mayor afectado ha sido un vecino de Santiago de Compostela, que tenía cargos por 5.500 euros por compras realizadas en Melbourne. En este caso concreto fue la Caixa la que avisó al cliente y canceló el pago de las facturas falsas. La obtención de los datos de las tarjetas se cree que pueden venir por un robo de los datos, adquiridos a piratas informáticos que los obtuvieron en bloque, o a través de un acceso al banco de datos de la entidad. Se baraja también la posibilidad de la utilización de alguno de los programas denominados como "Credi Master", que genera aleatoriamente números de tarjetas hasta que da con alguno real, y a partir de este va encontrando nuevos números de la misma entidad bancaria, hasta que la misma da de baja estas tarjetas e implanta un nuevo sistema de numeración. No se tiene el conocimiento claro de cuantas tarjetas han sido afectadas, ni a cuánto asciende la cantidad total del fraude. Aunque según la Caixa Galicia los clientes que se hayan visto afectados "no sufrirán ningún perjuicio". * Fuente: www.elcorreogallego.com (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Tras un pirata informático _____________________________________________________________ http://www.vsantivirus.com/11-07-03a.htm Tras un pirata informático Por Carlosues carlosues@videosoft.net.uy * Cuando las investigaciones se hacen bien Recientemente se han visto en España, algunos casos de supuestas actividades "hackers" y piratería que, por precipitación o falta de conocimiento, han acabado en nada y desacreditado a empresas y organizaciones. Hoy os contamos la otra cara, cuando las cosas se hacen bien. * La justicia británica condena a 15 meses de prisión a uno de los piratas informáticos más conocidos de Internet * Cronología * 2000 La investigación comienza cuando un consumidor se acercó a la BSA (Business Software Alliance), después de haber comprado software falsificado por Bilal Khan, un estudiante de 23 años. Los investigadores de Internet de BSA también habían identificado artículos sospechosos puestos a la venta por Khan y que finalmente se revelaron como software pirata. Los investigadores de Internet de BSA y el Consejo Lewisham localizaron a Khan en Lewisham en 2000, quien entonces estudiaba la contabilidad, y fue detenido por la Policía. * 2001-2002 El ahora condenado huyó, estando bajo fianza, y continuó con sus operaciones desde Pakistán, usando para ello un servicio de redirección postal desde su domicilio en el Reino Unido. BSA localizó a Khan una vez más, vendiendo software ilegal en sitios de subastas de EE.UU y Reino Unido a través de numerosos alias. Según Beth Scott: "el hecho que este individuo fuera capaz de seguir sus operaciones ilegales es terrible. Hemos estado pidiendo mayor urgencia en la llegada de este tipo de casos a la justicia y medidas disuasorias más duras que prevengan la continuidad de esta clase de piratería mientras el criminal se encuentra bajo fianza." * Marzo 2003 Después de entrar inadvertido en el Reino Unido, Khan fue parado por la Policía en Londres por una infracción de tráfico leve, momento en el que se descubrió que había sido buscado durante siete meses. Khan ha pasado los últimos cuatro meses bajo custodia esperando su sentencia. * Julio 2003 El Viernes día 4 de Julio Khan fue sentenciado a 15 meses en prisión por Mr Recorder Rook QC del Tribunal Central Criminal de Londres. Además, fue condenado a pagar £15,000 al Consejo de Lewisham. * Modus operandi Khan puso en funcionamiento una sofisticada operación, vendiendo copias de software ilegal de Adobe, Autodesk, Macromedia, Microsoft y Symantec cercanas al verdadero precio de Mercado, en casi 30 sitios de compra bajo pedido que había creado específicamente para este propósito. Para el consumidor medio, él parecía un auténtico vendedor. Khan también vendía a través de sitios de subastas públicos, como eBay, hasta 1.700 artículos al día, utilizando un total de 17 alias diferentes y 19 direcciones de email. Khan era altamente organizado, hasta el extremo de que guardaba todos los registros de sus transacciones, conservando incluso las muchas quejas que recibía de sus clientes. Esta información está ahora en manos de Lewisham Council Trading Standard y de la Policía. * Resultado Con esta condena concluye una de las mayores investigaciones llevadas a cabo en Europa para terminar con las actividades ilegales de un pirata que operaba a través de la Red. Gracias a la utilización de páginas de subastas y de pedido postal, y a la utilización de diversos alias, Khan produjo y distribuyó software falsificado por valor de miles de euros al mes. Buscado durante más de dos años, el domicilio de Khan fue registrado por la Policía londinense y el Consejo de Lewisham Trading Standard después de una intensa investigación internacional llevada a cabo por BSA. Khan, de 23 años, se declaró culpable de seis cargos que incluyen ofensas por posesión y distribución de software falsificado y delito de estafa. Según Beth Scott, Vicepresidente de BSA EMEA (Europa, Medio Oriente y Africa), "Este caso demuestra que Internet no sólo no es anónimo, sino que los individuos que utilizan este soporte para engañar a los consumidores pueden ser localizados y detenidos." (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - España: Congreso aprueba una modificación de la LOPD _____________________________________________________________ http://www.vsantivirus.com/11-07-03b.htm España: Congreso aprueba una modificación de la LOPD Por Carlosues carlosues@videosoft.net.uy El Congreso de los Diputados, a iniciativa del Grupo Parlamentario Popular, ha aprobado el pasado 9 de julio de 2003, una modificación de la Ley Orgánica de Protección de Datos (LOPD) para que se exija el consentimiento expreso para la utilización de censo electoral con fines comerciales. El artículo 31 de la LOPD, regulador del Censo Promocional, permitía un consentimiento tácito para la utilización de los datos personales de este Censo. Así, si no se contesta a una autorización para utilizar los datos personales del Censo Promocional, se entendía que el sujeto había otorgado su consentimiento. Con la modificación aprobada ayer en el Congreso, el consentimiento tácito para la utilización de datos personales del Censo Promocional, no estará permitido, ya que según la nueva redacción, se debe obtener una consentimiento expreso para proceder a la utilización de los mencionados datos. Más información: http://www.portaley.com/protecciondatos (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Gant.E. Elimina antivirus, roba contraseñas _____________________________________________________________ http://www.vsantivirus.com/gant-e.htm Nombre: W32/Gant.E Tipo: Gusano de Internet Alias: W32/Redisto.C, Redisto.D, I-Worm.Redisto.d, Win32/Redisto.C, Win32/OutSid.D, W32.HLLW.Redist.C@mm, Win32/Gant.E, I-Worm.Tanger.d, Win32.Thaprog.C, W32/Gant.gen@MM Plataforma: Windows 32-bit Tamaño: 29,184 bytes Fecha: 11/jul/03 Este gusano se propaga a través del correo electrónico y de las redes de intercambio de archivos entre usuarios P2P. Escrito en Visual Basic y comprimido con UPX, también posee características de troyano, comprometiendo la confidencialidad del usuario de la computadora infectada, ya que toda la información de la misma puede ser enviada a un atacante remoto. Además, puede detener los procesos de conocidos antivirus y cortafuegos. Cuando se ejecuta, muestra un mensaje de error falso: Error Starting Program A required .DLL file, MSVBVM60.DLL, was not found. [ OK ] La primera vez que se ejecuta, crea los siguientes archivos: c:\windows\ircskins.skn c:\windows\lgnpsp32.exe c:\windows\java\java32.pif c:\windows\system\clspck32.exe c:\windows\system\msnotepd32.pif c:\windows\netisp32.vbs NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). Cuando Netisp32.vbs se ejecuta, se copia el gusano como c:\windows\WebdesignSetup.exe. Luego intenta copiarse a todos los discos duros y unidades de red con el nombre de \PassportSetup.exe. Modifica las siguientes entradas en el registro, para autoejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run LoginPassport = c:\windows\lgnpsp32.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SystemMap32 = c:\windows\netisp32.vbs También crea estas entradas: HKCU\Software\Zed\Outsider Outsider4 = W32/Outsider.D by Zed HKCU\Software\Zed\Outsider\Emailndex\WABEmails Para propagarse por correo electrónico, el gusano manda una copia de si mismo a todos los contactos de la libreta de direcciones de Windows (.WAB), en mensajes como los siguientes: Ejemplo 1: Asunto: Funny picture Datos adjuntos: CartoonComedy.pif Texto del mensaje: Hello, Check out the cartoon picture in the attachments! Email me back and tell me what you think :) Cya! Ejemplo 2: Asunto: The passwords Datos adjuntos: PswdLst01.pif Texto del mensaje: Did you get that password list I sent you yesterday? If you didn't, it is in the attachments anyway. Ejemplo 3: Asunto: The file Datos adjuntos: Database[número al azar].pif Texto del mensaje: Here is that file that you asked for yesterday (in attachments). Ejemplo 4: Asunto: That file Datos adjuntos: Soccer[número al azar].pif Texto del mensaje: Sorry if I sent this email late, but here is that file that you asked for about [número al azar] days ago. If you have trouble installing them, just email me back and ask for the help files. Thanks. Ejemplo 5: Asunto: Fire Screensaver Datos adjuntos: FireScreen.scr Texto del mensaje: Check out this Screensaver of fire! I think that it is one of the best Screensavers that I have ever seen! Ejemplo 6: Asunto: Stupid picture Datos adjuntos: Armadillo.pif Texto del mensaje: Check out the stupid picture in the attachments! El gusano también utiliza el archivo c:\windows\Netisp32.vbs, para enviarse a todos los contactos de la libreta de direcciones, en un mensaje con estas características: Asunto: Web design Datos adjuntos: WebDesignSetup.exe Texto del mensaje: I have noticed that your web page could do with some adjustments. Try this HTML web designer in the attachments. The web designer is easy to use. Sorry that I could not include the help files for it, as they were too large to attach to this email message. Cya! Para propagarse por las redes P2P, busca en los siguientes directorios: C:\Archivos De Programa C:\Program C:\Program Files C:\Programas C:\ProgramFiler C:\Programme C:\Programmer C:\Programmi Cualquiera de estas carpetas compartidas de conocidos programas P2P: \BearShare\Shared \Edonkey2000\Incoming \Gnucleus\Downloads \Gnucleus\Downloads\Incoming \Grokster\My Grokster \ICQ\Shared Files \Kazaa Lite\My Shared Folder \Kazaa\My Shared Folder \KMD\My Shared Folder \LimeWire\Shared \Morpheus\My Shared Folder \Overnet\Incoming \Rapigator\Share \Shareaza\Downloads \Tesla\Files \WinMX\My Shared Folder \XoloX\Downloads También busca las siguientes carpetas: \My Music \My Documents\My Music Y se copia en todas ellas con los siguientes nombres: Bruce Almighty (Downloader).pif Legally Blonde 2 (Downloader).pif Movie - Finding Nemo (Downloader).pif Movie - Terminator 3 (Downloader).pif Movie - The Hulk (Downloader).pif Movie - The Italian Job (Downloader).pif Sinbad - Legend of the Seven Seas (Downloader).pif También crea la carpeta "LocaSettings": c:\windows\LocaSettings Agrega este valor al registro, para compartir ese directorio con los usuarios del KaZaa: HKCU\Software\Kazaa\Transfer DlDir1 = c:\windows\LocalSettings Y luego se copia a si mismo en dicha carpeta con los siguientes nombres: 2Fast 2Furious (Downloader).pif 3D Chess 2002 Setup.exe 3D Fire Screensaver.scr 3D Ocean Screensaver.scr 3D Solitaire 2002 Setup.exe Adobe Acrobat Reader Full (Downloader).exe Age Of Empires 2 CD Crack.exe Age Of Empires 2 Expansion CD Crack.exe Black Hawk Down (Downloader).pif Bruce Almighty (Downloader).pif Charlie's Angels Full Throttle (Downloader).pif Clone CD Full (Downloader).exe Email Spammer 7.0 setup.exe GIF Image Designer Setup.exe Happy Gilmore (Downloader).pif iMesh Adware killer.exe Jasc Paint Shop Pro 7 Full (Downloader).exe Kazaa Adware killer setup.exe Legally Blonde 2 (Downloader).pif Lord Of The Rings - Fellowship Of The Ring (Downloader).pif Movie - Bad Eggs (Downloader).pif Movie - Big Daddy (Downloader).pif Movie - Finding Nemo (Downloader).pif Movie - Mr Deeds (Downloader).pif Movie - Terminator 3 (Downloader).pif Movie - The Hulk (Downloader).pif Movie - The Italian Job (Downloader).pif Norton AntiVirus 2003 Full (Downloader).exe Rat Race (Downloader).pif Red Alert 2 Full (Downloader).exe Return To Castle Wolfenstien Full (Downloader).exe Screensaver designer setup.exe Sinbad - Legend of the Seven Seas (Downloader).pif The Lord of the Rings - The Two Towers (Downloader).pif The Matrix Reloaded (Downloader).pif VET Anti-virus serial key.pif WinAmp 5 Full (Downloader).exe Windows XP KeyGen.exe Windows XP serial key.pif WinZip 8 Full (Dowloader).exe WinZip serial key.pif El gusano puede robar información de la computadora infectada y enviarla a un usuario remoto. Los datos robados son almacenados en los siguientes archivos: c:\windows\Mskmap32.txt c:\windows\Mskmap.txt Esta información es enviada al atacante en un mensaje como el siguiente: Para: Zed_rRlf@hotmail.com Asunto: Cached passwords – [fecha infección] También puede detener los siguientes procesos activos en la memoria de la computadora, lo que permite acabar con antivirus y cortafuegos que se estén ejecutando: _avp.Exe _avp32.Exe Ackwin32.Exe Anti-Trojan.Exe Apvxdwin.Exe Autodown.Exe Avconsol.Exe Ave32.Exe Avgctrl.Exe Avkserv.Exe Avnt.Exe Avp.Exe Avp32.Exe Avpcc.Exe Avpdos32.Exe Avpm.Exe Avpmon.Exe Avpnt.Exe Avptc32.Exe Avpupd.Exe Avsched32.Exe Avwin95.Exe Avwupd32.Exe Blackd.Exe Blackice.Exe Ccapp.Exe Cfiadmin.Exe Cfiaudit.Exe Cfind.Exe Cfinet.Exe Cfinet32.Exe Claw95.Exe Claw95cf.Exe Claw95ct.Exe Cleaner.Exe Cleaner3.Exe Dv95.Exe Dv95_o.Exe Dvp95.Exe Dvp95_0.Exe Ecengine.Exe Efinet32.Exe Esafe.Exe Espwatch.Exe F-Agnt95.Exe Findviru.Exe F-Prot.Exe Fprot.Exe F-Prot95.Exe Fprot95.Exe Fp-Win.Exe Frw.Exe F-Stopw.Exe Iamapp.Exe Iamserv.Exe Ibmasn.Exe Ibmavsp.Exe Icload95.Exe Icloadnt.Exe Icmon.Exe Icmoon.Exe Icssuppnt.Exe Icsupp95.Exe Icsuppnt.Exe Iface.Exe Iomon98.Exe Jed.Exe Jedi.Exe Kpf.Exe Kpfw32.Exe Lockdown2000.Exe Lookout.Exe Luall.Exe Moolive.Exe Mpftray.Exe N32scan.Exe N32scanw.Exe Navapw32.Exe Navlu32.Exe Navnt.Exe Navsched.Exe Navw.Exe Navw32.Exe Navwnt.Exe Nisum.Exe Nmain.Exe Normist.Exe Nupgrade.Exe Nvc95.Exe Outpost.Exe Padmin.Exe Pavcl.Exe Pavsched.Exe Pavw.Exe Pccwin98.Exe Pcfwallicon.Exe Persfw.Exe Rav7.Exe Rav7win.Exe Rescue.Exe Safeweb.Exe Scan32.Exe Scan95.Exe Scanpm.Exe Scrscan.Exe Serv95.Exe Smc.Exe Sphinx.Exe Sweep95.Exe Tbscan.Exe Tca.Exe Tds2-98.Exe Tds2-Nt.Exe Vcontrol.Exe Vet32.Exe Vet95.Exe Vet98.Exe Vettray.Exe Vscan40.Exe Vsecomr.Exe Vshwin32.Exe Vsscan40.Exe Vsstat.Exe Webscan.Exe Webscanx.Exe Wfindv32.Exe Zonealarm.Exe Zapro.Exe También intenta cerrar cualquier ventana que incluya en su título, cualquiera de las siguientes cadenas: Anti Virus Anti-Virus Antivirus Avxmon Backdoor Black Ice Cillin Fire Fire Wall Fire-Wall Firewall Fixtool F-Prot Fprot Icload Icssupp Icsupp Inocit Inoculate It Lockdown Mcafee Mcafee Security Nod32 Pc Cillin Pccillin Prot Registry Editor Removal Scan Scanner Scanning Security Service: Tds2 Trojan Virus Virus Scan Viruses Virusscan Vscan Worm Zonealarm * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\ircskins.skn c:\windows\lgnpsp32.exe c:\windows\java\java32.pif c:\windows\system\clspck32.exe c:\windows\system\msnotepd32.pif c:\windows\netisp32.vbs c:\windows\Mskmap32.txt c:\windows\Mskmap.txt Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: LoginPassport SystemMap32 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Zed 7. Pinche en la carpeta "Zed" y bórrela. 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - W32/Jantic.A. Destructivo gusano que obliga a reinstalar _____________________________________________________________ http://www.vsantivirus.com/jantic-a.htm Nombre: W32/Jantic.A Tipo: Gusano Alias: Win32/Jantic.A, W32/Jantic@mm, I.worm.jantic@mm, Bloodhound.W32.VBWORM Tamaño: 36, 864 bytes Fecha: 10/jun/03 Este gusano, escrito en Visual Basic y compilado en código nativo, sin comprimir, se propaga enviándose a todos los contactos de la libreta de direcciones de Windows en mensajes como éste: Asunto: You have a ecard! Datos adjuntos: attachment.exe (36 KB) Texto: You have recieved a E-Card! Check your attatchments! Cuando se ejecuta muestra varias ventanas con mensajes. Primero muestra la siguiente en español: Error Recepción a la versión dos de Windows HijAcKer. ¿Cuál es triunfo HiJacKer? ¿Qué usted thiink que es? !Duh! ¡Es un virus! ¡Y le han infectado! ¡Más! El virus fue hecho por Symantic Inc. [ OK ] Al pulsar en OK se muestra la siguiente en francés: Error Bienvenue à la version deux de Windows HijAcKer. Quelle est victoire HiJacKer ? Que vous thiink que'elle est ? Duh! C'est un virus ! Et vous avez été infecté ! Positif ! Le virus a été fait par Symantic Inc. [ OK ] Y finalmente, la siguiente en inglés: Error Thanks for Downloading Secure X. Your Computer has now been Secured and is not Protected Against Viruses and Hackers. This Service is free and can only be used once! This Program was made by Symantic Inc. The Makers of Norton Anti-Virus 2003 [ OK ] Luego, se envía a todos los contactos de la libreta de direcciones de Windows en mensajes como el ya visto, utilizando las funciones MAPI del Outlook y Outlook Exprtess. MAPI (Messaging Application Programming Interface), es la interface de programación para aplicaciones que gestionan correo electrónico, servicios de mensajería, trabajos en grupo, etc. El gusano crea después los siguientes archivos: c:\attachment.exe c:\windows\start menu\programs\startup\norton antivirus.exe c:\windows\start menu\programs\startup\mcafee antivirus.exe c:\windows\start menu\programs\startup\error.exe [carpeta de ejecución del gusano]\norton.exe Posee una destructiva rutina que se activa la próxima vez que la máquina infectada se reinicie. Cuando ello ocurre, el gusano borra todos los archivos con extensión .EXE de los siguientes directorios y sub directorios: c:\archivos de programa\yahoo!\messenger\ c:\windows\ c:\windows\system\ De existir, también borrará el archivo ejecutable del antivirus de Norton. c:\archivos de programa\norton antivirus\navw32.exe Al finalizar mostrará el siguiente mensaje: Error 0251d2 Please See Technical Support! [ OK ] * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Si se constata la infección, no se debe reiniciar el equipo hasta eliminar los archivos del gusano, o serán borrados todos los ejecutables de Windows al reiniciarse la computadora. Los archivos borrados deberán ser reinstalados o copiados de un respaldo anterior, aunque seguramente, si la rutina destructiva se llegó a ejecutar, la única solución efectiva sea reinstalar todos los programas y aplicaciones, incluido Windows. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si desea intentar la recuperación de la valiosa información guardada en su computadora. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\attachment.exe c:\windows\start menu\programs\startup\norton antivirus.exe c:\windows\start menu\programs\startup\mcafee antivirus.exe c:\windows\start menu\programs\startup\error.exe [carpeta de ejecución del gusano]\norton.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1099 Año 7, Viernes 11 de julio de 2003