vsantivirus.com - Mis eListas: vsantivirus: Mensajes

Inicio > Mis eListas > vsantivirus > Mensajes

Mensajes 1202 al 1221

Asunto	Autor
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi
VSantivirus No. 21	VSAntivi

<< 20 ant. | 20 sig. >>

VSAntivirus

Página principal

Mostrando mensaje 1219 < Anterior | Siguiente >

Responder a este mensaje

Asunto: VSantivirus No. 2167 Año 10, sábado 17 de junio de 2 006
Fecha: Sabado, 17 de Junio, 2006 04:23:21 (-0300)
Autor: VSAntivirus.com <vsantivirus @...........com>

VSantivirus No. 2167 Año 10, sábado 17 de junio de 2006 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Exploit de día cero para vulnerabilidad de MS Excel 2 - Exploit.MSExcel.Downloader. Detecta exploit de Excel 3 - Bagle.GK. Gusano de Internet y caballo de Troya 4 - VB.NEY. Destructivo gusano con mensajes en español 5 - TrojanDownloader.Small.CAK. Descarga malware 6 - Spy.Flux. Troyano de acceso remoto, roba información _____________________________________________________________ 1 - Exploit de día cero para vulnerabilidad de MS Excel _____________________________________________________________ http://www.vsantivirus.com/vul-excel-160606.htm Exploit de día cero para vulnerabilidad de MS Excel Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Ha sido reportada una vulnerabilidad en Microsoft Excel, conociéndose la existencia de al menos un exploit que se vale de ella para ejecutar código malicioso cuando se abre una hoja de cálculo con determinados comandos embebidos en dicho archivo. Se le ha catalogado como una vulnerabilidad Zero-day, por haberse hecho público un exploit antes que un parche estuviera disponible (prácticamente el mismo día de reportarse el problema). Para que el exploit puede ser ejecutado, el usuario debe abrir un documento .XLS que haya recibido vía correo electrónico, o descargado de algún sitio malicioso, generalmente mediante engaños. Si el usuario sigue las reglas básicas de seguridad en Internet, como las de no abrir ningún archivo adjunto que no haya solicitado, sin importar su remitente, es poco probable que pueda ser afectado por este exploit. Al momento actual, el código malicioso detectado, descarga o libera al menos dos troyanos, detectados ambos por NOD32. NOD32 liberó también una detección genérica para el exploit, el cuál está embebido como un macro de Excel en un archivo .XLS. Más información: Exploit.MSExcel.Downloader. Detecta exploit de Excel http://www.vsantivirus.com/exploit-msexcel-downloader.htm TrojanDownloader.Small.CAK. Descarga malware http://www.vsantivirus.com/trojandownloader-small-cak.htm Spy.Flux. Troyano de acceso remoto, roba información http://www.vsantivirus.com/spy-flux.htm * Software afectado: - Microsoft Excel 2000 - Microsoft Excel 2002 - Microsoft Excel 2003 - Microsoft Office 2000 - Microsoft Office XP - Microsoft Office 2003 * Solución No existe ningún parche de Microsoft para esta vulnerabilidad al momento de publicarse esta alerta. Se aconseja no abrir documentos de Excel de fuentes desconocidas. NOD32 publicó una detección genérica para este exploit, que puede proteger al usuario mientras no exista una actualización oficial del software afectado. * Relacionados: Reports of a new vulnerability in Microsoft Excel http://blogs.technet.com/msrc/archive/2006/06/16/436174.aspx (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Exploit.MSExcel.Downloader. Detecta exploit de Excel _____________________________________________________________ http://www.vsantivirus.com/exploit-msexcel-downloader.htm Nombre: Exploit.MSExcel.Downloader Nombre NOD32: Win32/Exploit.MSExcel.Downloader Tipo: Macro, Caballo de Troya Alias: Exploit.MSExcel.Downloader, Win32/Exploit.MSExcel.Downloader, X97M_EMBED.AN Fecha: 16/jun/06 Plataforma: Windows 32-bit Tamaño: 127,488 bytes Detección genérica del macro de Microsoft Excel que puede arribar en una hoja de cálculos adjunta a un correo electrónico, o descargada de un sitio malicioso de Internet. Se trata de un archivo .XLS que puede ejecutar un código cuando es abierto por el usuario, sin ninguna clase de notificación. El código intenta a su vez descargar o liberar otros malwares (al momento de esta descripción, detectados por NOD32 como Win32/TrojanDownloader.Small.CAK y Win32/Spy.Flux). El macro se vale de un exploit del tipo Zero-day (sin parche publicado al momento de liberarse el exploit), que utiliza una vulnerabilidad recién descubierta en Microsoft Excel. NOD32 protege al usuario de la ejecución de este código. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Bagle.GK. Gusano de Internet y caballo de Troya _____________________________________________________________ http://www.vsantivirus.com/bagle-gk.htm Nombre: Bagle.GK Nombre NOD32: Win32/Bagle.GK Tipo: Caballo de Troya y gusano de Internet Alias: Bagle.GK, Email-Worm.Win32.Bagle.gh, I-Worm/Bagle, TR/Bagle.Gen.B, Trj/Mitglieder.JL, TROJ_BAGLE.EY, Trojan.Bagle.Gen!Pac12, Trojan.Downloader.Bagle-15, Trojan.Downloader.gen, Trojan.Tooso, Trojan- Downloader.Win32.Bagle.at, W32/Bagle.gen@MM, W32/Bagle@mm, W32/Bagle-KF, W32/Downloader, W32/Mitglieder.TI, Win32.Bagle.EE@mm, Win32.HLLM.Beagle.65403, Win32/Bagle.GK, Win32/Baglelike, Win32/Glieder.CA!Trojan Fecha: 16/jun/06 Plataforma: Windows 32-bit Tamaño: 12,726 bytes Se propaga a través de correo electrónico enviado como spam masivo. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer". El primero es un "downloader", un troyano que descarga otro de los componentes del gusano, un segundo downloader. Cuando el segundo downloader se ejecuta, descarga un archivo de una dirección predeterminada de Internet, y lo almacena en la carpeta del sistema con un nombre al azar, para luego ejecutarlo. Este archivo (el "mass-mailer"), se encarga de propagar al gusano a través de mensajes de correo electrónico. Cuando el gusano es abierto y ejecutado por el usuario, el mismo crea el siguiente archivo en el sistema: c:\windows\system32\hldrrr.exe También crea la carpeta EXEFLD si no existe, y el siguiente archivo: c:\windows\exefld\=083.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Para autoejecutarse en cada reinicio del sistema, crea las siguientes entradas: HKCU\Software\Microsoft\Windows\CurrentVersion\Run hldrrr = "c:\windows\system32\hldrrr.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run hldrrr = "c:\windows\system32\hldrrr.exe" También genera la siguiente entrada para almacenar datos de su propia configuración: HKCU\Software\FirstRRRun Cada vez que se ejecuta, el troyano se contacta con una larga lista de sitios, enviando información a un script CGI sobre el equipo infectado (tipo de conexión, sistema operativo, puerto, hora local, etc.), para luego intentar descargar y ejecutar otros archivos. Intenta finalizar todos los procesos activos con los siguientes nombres (la mayoría antivirus y cortafuegos): _AVP32.EXE _AVPCC.EXE _AVPM.EXE a2guard.exe aavshield.exe AckWin32.exe ADVCHK.EXE AhnSD.exe airdefense.exe ALERTSVC.EXE ALMon.exe ALOGSERV.EXE ALsvc.exe amon.exe Anti-Trojan.exe AntiVirScheduler AntiVirService ANTS.EXE APVXDWIN.EXE Armor2net.exe ashAvast.exe ashDisp.exe ashEnhcd.exe ashMaiSv.exe ashPopWz.exe ashServ.exe ashSimpl.exe ashSkPck.exe ashWebSv.exe aswUpdSv.exe ATCON.EXE ATUPDATER.EXE ATWATCH.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE avciman.exe Avconsol.exe AVENGINE.EXE avgamsvr.exe avgcc.exe AVGCC32.EXE AVGCTRL.EXE avgemc.exe avgfwsrv.exe AVGNT.EXE avgntmgr AVGSERV.EXE AVGUARD.EXE avgupsvc.exe avinitnt.exe AvkServ.exe AVKService.exe AVKWCtl.exe AVP32.EXE avpcc.exe avpm.exe AVPUPD.EXE AVSCHED32.EXE avsynmgr.exe AVWUPD32.EXE AVWUPSRV.EXE AVXMONITOR9X.EXE AVXMONITORNT.EXE AVXQUAR.EXE BackWeb-4476822.exe bdmcon.exe bdnews.exe bdoesrv.exe bdss.exe bdsubmit.exe bdswitch.exe blackd.exe blackice.exe cafix.exe ccApp.exe ccEvtMgr.exe ccProxy.exe ccSetMgr.exe CFIAUDIT.EXE ClamTray.exe ClamWin.exe Claw95.exe Claw95cf.exe cleaner.exe cleaner3.exe CliSvc.exe CMGrdian.exe DefWatch.exe DOORS.EXE DrVirus.exe drwadins.exe drweb32w.exe drwebscd.exe DRWEBUPW.EXE ESCANH95.EXE ESCANHNT.EXE ewidoctrl.exe EzAntivirusRegistrationCheck.exe F-AGNT95.EXE FAMEH32.EXE FAST.EXE FCH32.EXE FireSvc.exe FireTray.exe FIREWALL.EXE fpavupdm.exe F-PROT95.EXE freshclam.exe fsav32.exe fsavgui.exe fsbwsys.exe F-Sched.exe fsdfwd.exe FSGK32.EXE fsgk32st.exe fsguiexe.exe FSM32.EXE FSMA32.EXE FSMB32.EXE fspex.exe fssm32.exe F-StopW.EXE gcasDtServ.exe gcasServ.exe GIANTAntiSpywareMain.exe GIANTAntiSpywareUpdater.exe GUARD.EXE GUARDGUI.EXE GuardNT.exe HRegMon.exe Hrres.exe HSockPE.exe HUpdate.EXE iamapp.exe iamserv.exe ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSSUPPNT.EXE ICSUPP95.EXE ICSUPPNT.EXE IFACE.EXE INETUPD.EXE InocIT.exe InoRpc.exe InoRT.exe InoTask.exe InoUpTNG.exe IOMON98.EXE isafe.exe ISATRAY.EXE ISRV95.EXE ISSVC.exe JEDI.EXE kavmm.exe KAVPF.exe KavPFW.exe KAVStart.exe KAVSvc.exe KAVSvcUI.EXE KMailMon.EXE KPfwSvc.EXE KWatch.EXE livesrv.exe LOCKDOWN2000.EXE LogWatNT.exe lpfw.exe LUALL.EXE LUCOMSERVER.EXE Luupdate.exe MCAGENT.EXE mcmnhdlr.exe mcregwiz.exe Mcshield.exe MCUPDATE.EXE mcvsshld.exe MINILOG.EXE MONITOR.EXE MonSysNT.exe MOOLIVE.EXE MpEng.exe mpssvc.exe MSMPSVC.exe myAgtSvc.exe myagttry.exe navapsvc.exe NAVAPW32.EXE NavLu32.exe NAVW32.EXE NDD32.EXE NeoWatchLog.exe NeoWatchTray.exe NISUM.EXE NMAIN.EXE nod32.exe nod32krn.exe nod32kui.exe NORMIST.EXE notstart.exe npavtray.exe NPFMNTOR.EXE npfmsg.exe NPROTECT.EXE NSCHED32.EXE NSMdtr.exe NssServ.exe NssTray.exe ntrtscan.exe NTXconfig.exe NUPGRADE.EXE NVC95.EXE Nvcod.exe Nvcte.exe Nvcut.exe NWService.exe OfcPfwSvc.exe OUTPOST.EXE PavFires.exe PavFnSvr.exe Pavkre.exe PavProt.exe pavProxy.exe pavprsrv.exe pavsrv51.exe PAVSS.EXE pccguide.exe PCCIOMON.EXE pccntmon.exe PCCPFW.exe PcCtlCom.exe PCTAV.exe PERSFW.EXE pertsk.exe PERVAC.EXE PNMSRV.EXE POP3TRAP.EXE POPROXY.EXE prevsrv.exe PsImSvc.exe QHM32.EXE QHONLINE.EXE QHONSVC.EXE QHPF.EXE qhwscsvc.exe RavMon.exe RavTimer.exe Realmon.exe REALMON95.EXE Rescue.exe rfwmain.exe Rtvscan.exe RTVSCN95.EXE RuLaunch.exe SAVAdminService.exe SAVMain.exe savprogress.exe SAVScan.exe SCAN32.EXE ScanningProcess.exe sched.exe sdhelp.exe SERVIC~1.EXE SHSTAT.EXE SiteCli.exe SNDSrvc.exe SPBBCSvc.exe SPHINX.EXE spiderml.exe spidernt.exe Spiderui.exe SpybotSD.exe SPYXX.EXE SS3EDIT.EXE stopsignav.exe swAgent.exe swdoctor.exe SWNETSUP.EXE symlcsvc.exe SymProxySvc.exe SymSPort.exe SymWSC.exe SYNMGR.EXE TAUMON.EXE TBMon.exe TDS-3.EXE TeaTimer.exe TFAK.EXE THAV.EXE THSM.EXE Tmas.exe tmlisten.exe Tmntsrv.exe TmPfw.exe tmproxy.exe TNBUtil.exe TRJSCAN.EXE Up2Date.exe UPDATE.EXE UpdaterUI.exe upgrepl.exe Vba32ECM.exe Vba32ifs.exe vba32ldr.exe Vba32PP3.exe VBSNTW.exe vcrmon.exe vchk.exe VetTray.exe VirusKeeper.exe VPTRAY.EXE vrfwsvc.exe VRMONNT.EXE vrmonsvc.exe vrrw32.exe VSECOMR.EXE Vshwin32.exe vsmon.exe vsserv.exe VsStat.exe WATCHDOG.EXE WebProxy.exe Webscanx.exe WEBTRAP.EXE WGFE95.EXE Winaw32.exe winroute.exe winss.exe winssnotify.exe WRADMIN.EXE WRCTRL.EXE xcommsvr.exe zatutor.exe ZAUINST.EXE zlclient.exe zonealarm.exe También intenta detener los siguientes servicios relacionados con software de seguridad: Aavmker4 ADBLOCK.DLL ADFirewall Ahnlab task Scheduler AlertManger AntiVir Service AntiyFirewall aswUpdSv Ati HotKey Poller avast! Antivirus avast! Mail Scanner avast! Web Scanner AVEService AVExch32Service Avg7Alrt Avg7Core Avg7RsXP Avg7UpdSvc AVGFwSrv AvgFwSvr AVIRAMailService AVIRAService AVUPDService AVWUpSrv awhost32 backweb client - 4476822 BackWeb Client - 7681197 backweb client-4476822 Bdfndisf BlackICE BsFileSpy BsFirewall BsMailProxy ccEvtMgr ccPwdSvc ccSetMgr ccSetMgr.exe CONTENT.DLL DefWatch DNSCACHE.DLL drwebnet ewido security suite control ewido security suite driver ewido security suite guard firewall F-Prot Antivirus Update Monitor F-Secure Gatekeeper Handler Starter FTPFILT.DLL FwcAgent Guard NT HTMLFILT.DLL HTTPFILT.DLL IMAPFILT.DLL Ip6FwHlp KAVMonitorService KLBLMain KWatchSvc MAILFILT.DLL McAfee Firewall McAfeeFramework McShield McTaskManager mcupdmgr.exe Microsoft NetWork FireWall Services MonSvcNT MpfService navapsvc Network Associates Log Service NNTPFILT.DLL NOD32ControlCenter NOD32krn NOD32Service Norman NJeeves Norman Type-R Norman ZANDA Norton AntiVirus Server NPDriver NPFMntor NProtectService NVCScheduler NWService OfcPfwSvc Outbreak Manager Outpost Firewall OutpostFirewall PAVAGENTE PavAtScheduler PAVFIRES PAVFNSVR PavPrSrv PavReport Personal Firewall POP3FILT.DLL PROTECT.DLL qhwscsvc Quick Heal Online Protection RfwService SBService SECRET.DLL SharedAccess SharedAccess SmcService SPBBCSvc SpiderNT SweepNet SWEEPSRV.SYS Symantec AntiVirus Client Symantec Core LC The_Hacker_Antivirus V3MonSvc Vba32ECM Vba32ifs Vba32Ldr Vba32PP3 VBCompManService VexiraAntivirus VisNetic AntiVirus Plug-in WinAntivirus WinRoute wscsvc wuauserv * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \FirstRRRun 3. Haga clic en la carpeta "FirstRRRun" y bórrela. 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 8. Cierre el editor del registro. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Cómo rehabilitar el servicio SharedAccess (Windows 2000 y XP): Este servicio habilita la resolución de nombres y direcciones para todos los equipos de red doméstica o pequeña oficina, y es usado para la conexión compartida a Internet, y por el firewall (cortafuego) de Windows XP. Para rehabilitar este servicio, siga estos pasos: - En Windows XP Service Pack 2: Cuando este servicio es detenido, un mensaje de atención (globo de texto) advierte que se desconoce el estado del firewall. Para rehabilitarlo, siga estos pasos: 1. Desde Inicio, Panel de control, seleccione el "Centro de seguridad". 2. Si el Firewall aparece como desactivado, haga clic en la leyenda "Firewall de Windows" (abajo) y marque la opción "Activado (recomendado)". 3. Seleccione "Aceptar", etc. - En Windows 2000, Windows XP, Windows XP SP1: 1. En Inicio, Ejecutar, escriba "services.msc" y pulse Enter. 2. En la columna "Nombre" busque "Conexión de seguridad a Internet (ICF)/Conexión compartida a Internet (ICS)" (en Windows XP), o solo "Conexión compartida a Internet (ICS)" (en Windows 2000). 3. Haga doble clic sobre ese nombre, y en "Tipo de inicio:", seleccione "Automático" 4. En la misma ventana, "Estado del servicio:", haga clic en "Iniciar" 5. Pinche en "Aceptar", etc. * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - VB.NEY. Destructivo gusano con mensajes en español _____________________________________________________________ http://www.vsantivirus.com/vb-ney.htm Nombre: VB.NEY Nombre NOD32: Win32/VB.NEY Tipo: Gusano de Internet Alias: VB.NEY, Generic.Malware.SP.680E7C35, Generic.Malware.SP.F72A52CA, IM-Worm.Win32.VB.ab, W32.Jesse, W32.SillyIM, W32/Backdoor.KXO, W32/BlackAngel.B.worm, W32/Melo.E!worm.im, W32/Melo-E, W32/VB.ab, W32/VBWorm.MT, Win32.HLLW.Ami, Win32/Axel.2sj!Trojan, Win32/VB.NEY, Worm.VB.ab, Worm.VB.WCB, Worm/VB.AB.6, Worm/VB.UK Fecha: 8/mar/06 Actualizado: 28/may/06 Actualizado: 16/jun/06 Plataforma: Windows 32-bit Tamaño: 73,728 bytes; 385,024 bytes Gusano que se propaga vía MSN Messenger, enviando un mensaje con un enlace para su descarga. Cuando se ejecuta, puede borrar archivos del equipo infectado, modificar el registro de Windows para reducir la seguridad del sistema, además de finalizar los procesos en ejecución de numerosos programas antivirus y cortafuegos. También intenta borrar claves críticas del registro que pueden evitar que Windows se reinicie. Mientras se ejecuta, el gusano busca específicamente cerrar ciertas ventanas del sistema que están en español, como por ejemplo aquellas que tengan los siguientes nombres: Administrador de tareas de Windows Editor del Registro Panel de control Restaurar sistema Utilidad de configuración del sistema También cierra las ventanas del MSN Instant Messenger, evitando que el usuario infectado pueda acceder al programa. Al mismo tiempo, envía los siguientes mensajes a la lista de contactos del mismo: jaja look a that video [enlace] mira este video [enlace] jaja El enlace (www .ideastelcel .??? .??), apunta al siguiente archivo: http: // ????? .webcindario .com/videosexy.zip NOTA: En la versión de este gusano detectada el 16/06/06, el enlace apuntaba a la siguiente dirección (ya desactivada): http: // galeon.com /videosdiverti2/fantasma.zip NOTA: NOD32 detectó desde el primer momento esta segunda versión del gusano como "variante de Win32/VB.NEY" Cuando el usuario abre dicho ZIP, encuentra dentro el siguiente archivo, con un icono que simula el de un video, y una doble extensión para evitar ser descubierto: videosexy.avi.exe NOTA: En la versión de este gusano detectada el 16/06/06, el nombre del archivo es el siguiente: fantasma.avi.exe Al hacer clic sobre este falso AVI, se ejecuta el gusano, infectando al usuario. Cuando ello ocurre, se crea el siguiente archivo: c:\windows\system32\drivers\etc\jesse.exe NOTA: En la versión de este gusano detectada el 16/06/06, el archivo creado es el siguiente: c:\windows\cursors\wam.exe En esta última versión, también es mostrada la siguiente imagen con el texto "En el 1er día te espantas, en el 2 te desesperas, en el 3 buscas ayuda y en el 4 mueres.": [ver imagen en: http://www.vsantivirus.com/vb-ney.htm] El gusano puede crear además los siguientes archivos: a:\autor.txt c:\autor.txt c:\windows\system32\antlist.bat c:\windows\system32\win_nt.bat c:\windows\system32\systemwork.bat NOTA: En la versión de este gusano detectada el 16/06/06, crea los siguientes archivos: a:\autor.txt c:\autor.txt c:\windows\system32\lstx.bat c:\windows\system32\systemwork.bat c:\windows\system32\win_nt.bat Todos los caminos y nombres están indicados directamente en el código del gusano. Busca archivos en el raíz de todas las unidades de disco A y C, y por cada archivo encontrado, crea una copia de si mismo agregándole el .EXE al nombre original. Por ejemplo, si detecta estos archivos: AUTOEXEC.BAT CONFIG.SYS Se copia él mismo con los siguientes nombres: AUTOEXEC.BAT.exe CONFIG.SYS.exe Y luego borra los archivos originales (en el ejemplo AUTOEXEC.BAT y CONFIG.SYS). Modifica las siguientes entradas del registro, para deshabilitar el Administrador de tareas y autoejecutarse en cada reinicio de Windows, respectivamente: HKCU\Software\Microsoft\Windows \CurrentVersion\Policies\System DisableTaskMgr = "1" HKCU\Software\Microsoft\Windows\CurrentVersion\Run a = "c:\windows\system32\drivers\etc\jesse.exe" También crea las siguientes entradas para su propio uso: HKCU\Software\VB and VBA Program Settings\day\number nday = "[día del mes]" HKCU\Software\VB and VBA Program Settings\ok\jessy virus = "infectado" NOTA: En la versión de este gusano detectada el 16/06/06, crea las siguientes entradas: HKCU\Software\Microsoft\Windows\CurrentVersion\Run axel = "C:\Windows\Cursors\wam.exe" HKCU\Software\VB and VBA Program Settings\ok\ami virus = "infectado" Intenta finalizar los procesos de la siguiente lista que pudieran estar activos (pertenecen a antivirus, cortafuegos, etc.): _avpcc ackwin32 ad-aware admintool advxdwin agenta agentsvr alertsvc alogserv amon9x antitroj anti-trojan antivirus apimonitor aplica32 apvxdwin ashdisp ashquick atguard atro55en atupdater atwatch autodown autotrace avconsol avengine avgcc32 avgctrl avgserv avgserv9 avguard avkpop avkserv avkservice avkwctl avkwctl9 avsched32 avsynmgr avwinnt avxgui avxlive avxmonitor9x avxmonitornt avxquar bd_professional bidserver blackd blackice bootscan bootwarn ccevtmgr cfgintpr cfgwiz cfiadmin cfiaudit cfinet cfinet32 claw95 claw95cf cleaner cleaner3 cleanpc cmgrdian cmon016 connectionmonitor cpfnt206 cwnb181 cwntdwmo defscangui defwatch deputy dpatrol drweb32 drwebscd ecengine efpeadm escanh95 escanhnt escanv95 espwatch etrustcipe exantivirus-cnet expert f-agnt95 fameh32 findviru firewall flowprotector fnrb32 f-prot f-prot95 fp-win fsav32 fsav530stbyb fsavstrt fsgk32 fsma32 fsmb32 f-stopw gbmenu gbpoll generics gladiator guarddog guarder hackereliminator hacktracersetup iamapp iamserv iamstats ibmasn ibmavsp icload95 icloadnt icsupp95 icsuppnt iomon98 iparmor isrv95 jammer kavlite40eng mcvsshld mfw2en mgavrtcl mgavrte mghtml mgutil minilog monitor moolive mpftray mssmmc32 mwatch n32scanw navapsvc navapw32 navlu32 navstub navw32 navwnt neowatchlog neowatchtray netarmor netinfo netmon netscanpro netspyhunter-1.2 netutils nisserv normist npfmessenger npssvc nsched32 ntrtscan ntxconfig nvarch16 nwservice nwtool16 ostronet outpost padmin panixk pavfires pavproxy pavsrv51 pccclient pccguide pcciomon pccntmon pccpfw pccwin97 pccwin98 pcfwallicon pcscan periscope persfw pfwadmin pingscan platin pop3trap poproxy portdetective portmonitor ppvstop prazna procman programauditor proport protectx pview95 qconsole qserver qttask rapapp rav7win rav8win32eng ravmon ravwin8 realmon rmvtrjan rrguard rshell rtvscn95 rulaunch safeweb sbserv scan32 scanpm scrscan sgssfw32 sphinx ss3edit supftrl supporter5 sweep95 swnetsup symproxysvc taskalert taumon tauscan tbscan tds2-nt thguard titanin titaninxp trjscan trojan trojanhunter trojantrap3 tuconf tweak-xp umxagent umxldra v530wtbyb vbcmserv vbcons vbwin9x vbwinntw vettray vir-help vnlan300 vpfw30s vptr ay vptray vscan40 vsched vsecomr vshwin32 vsmain vsstat watchdog watcher webscanx webtrap wfindv32 wgfe95 wimmun32 wingate winrecon winroute wradmin wrctrl wsbgate xcommsvr xpf202en zatutor zauinst zonalm2601 El gusano puede mostrar los siguientes mensajes en español (con errores ortográficos): No se pueden abrir archivos debido a la falta de un componente PROMOCION TELCEL Tu mensage se ha enviado, el mensage llegara dentro de los proximos 10 minutos, puedes distribuir esta promocion enviando este software de promocion por e-mail a tus contactos. Protection Virus removido satisfactoriamente Al mismo tiempo, se envía a otros usuarios de MSN Messenger en mensajes como los ya descriptos. El gusano también intenta borrar subclaves que cuelgan de las siguientes entradas del registro (alguna de ellas en realidad no existe en el sistema): HKEY_CURRENT_USER\Hardware HKEY_CURRENT_USER\Software\Microsoft HKEY_LOCAL_MACHINE\HARDWARE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft También intentará reiniciar la computadora mediante el comando SHUTDOWN, sin advertir al usuario. El siguiente texto se encuentra dentro del código del gusano: Virus - Escrito por darckangel1986 @ hotmail .com NOTA: En la versión de este gusano detectada el 16/06/06, los siguientes textos pueden ser encontrados: Ami - Escrito por angelhack1986 @ hotmail .com angelhack1986 @ hotmail .com Mexico DF Ami. R. D. El gusano no funciona en sistemas que no tengan la siguiente librería (Visual Basic Virtual Machine) instalada: MSVBVM60.DLL * Reparación manual IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que dependerá del daño causado por el gusano desde el momento de ocurrida la infección, hasta el momento de su detección, que el sistema pueda reiniciarse correctamente. * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \VB and VBA Program Settings \day 3. Haga clic en la carpeta "day" y bórrela. 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \VB and VBA Program Settings \ok 5. Haga clic en la carpeta "ok" y bórrela. 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \System 9. Haga clic en la carpeta "System" y en el panel de la derecha, busque y borre la siguiente entrada: "DisableTaskMgr" = "1" 10. Cierre el editor del registro. 11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm [Última modificación: 17/06/06 01:17 -0300] * Publicado anteriormente: VSantivirus No. 2150 Año 10, lunes 29 de mayo de 2006 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - TrojanDownloader.Small.CAK. Descarga malware _____________________________________________________________ http://www.vsantivirus.com/trojandownloader-small-cak.htm Nombre: TrojanDownloader.Small.CAK Nombre NOD32: Win32/TrojanDownloader.Small.CAK Tipo: Caballo de Troya Alias: TrojanDownloader.Small.CAK, BehavesLike:Win32.ExplorerHijack, Downloader.Booli.A, Downloader.Generic2.CXV, Downloader.Small.bfl, Downloader- AWV, TR/Dldr.Smal.bfl.16, TROJ_SMALL.AWC, Trojan.DownLoader.6181, Trojan.Downloader.Small-724, Trojan- Downloader.Win32.Agent.alq, Trojan- Downloader.Win32.Small.BFL, W32/Malware, W32/Small.CAK!tr.dldr, Win32/SillyDL.7jh!Trojan, Win32/TrojanDownloader.Small.CAK, Win32:ExeBinder-B Relacionados: Win32/Exploit.MSExcel.Downloader, Win32/Spy.Flux Fecha: 24/mar/06 Actualizado: 16/jun/06 Plataforma: Windows 32-bit Tamaño: 105,472 bytes Aunque detectado desde marzo de 2006, el 16 de junio de 2006 una variante de este caballo de Troya es liberada por un exploit que se aprovecha de una vulnerabilidad no documentada de Microsoft Excel, del tipo Zero-day (hecha pública antes de que exista un parche para este problema). El troyano intenta descargar a su vez, otro malware de un determinado sitio de Internet. Cuando se ejecuta, crea el siguiente archivo: c:\windows\system32\svc.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Intenta abrir el Internet Explorer para inyectar su código en él, con la intención de eludir la acción de un cortafuego. Si logra descargar el archivo mencionado antes, el mismo es copiado con el siguiente nombre y luego ejecutado: c:\temp.exe El siguiente archivo también es creado por el troyano: c:\bool.ini El malware descargado puede ser una variante de Win32/Spy.Flux (http://www.vsantivirus.com/spy-flux.htm) * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - Spy.Flux. Troyano de acceso remoto, roba información _____________________________________________________________ http://www.vsantivirus.com/spy-flux.htm Nombre: Spy.Flux Nombre NOD32: Win32/Spy.Flux Tipo: Caballo de Troya de acceso remoto Alias: Spy.Flux, Backdoor.Bifrose.cw, BackDoor.Flux.101, Backdoor.Flux.B, BackDoor.Ralf, Backdoor.Trojan, Backdoor.Win32.Flux.d, Backdoor.Win32.PcClient.GV, Backdoor:Win32/Flux.I, Bck/Flux.B, BDS/Bifrose.CW, Generic.cb, GenPack:Backdoor.Flux.B, HEUR/Crypted.Patched, Heuristic/Crypted.Layered, Logger.Flux.a, New Malware.h, PSW.Generic2.ASG, PSW.Small.V, Spy/Flux, TR/Spy.Flux.A.86, TR/Winflux.B.2, Troj/Winflux-B, Trojan.Flux-15, Trojan.Flux- 16, Trojan.Spy.Flux.A, Trojan.Spy.Flux.A.Dam.2, Trojan.Win32.Agent.nf, TrojanSpy.Flux.a, TrojanSpy.Win32.Flux.a, Trojan-Spy.Win32.Flux.A, Trojan- Spy.Win32.Flux.a, Trojan-Spy.Win32.Flux.ae, W32/Bifrose.BYC, W32/Flux.AE!tr, W32/Malware, Win32/Flux!generic, Win32/Fluxay.1ji!Trojan, Win32/Spy.Flux, Win32:Flux-2 Fecha: 18/ago/05 Actualizado: 16/jun/06 Plataforma: Windows 32-bit Tamaño: 17,408 bytes y otros (PE_PATCH.MORPHINE, MORPHINE, FSG) Se trata de un caballo de Troya de acceso remoto, que permite a un atacante tomar el control del equipo infectado, comprometiendo seriamente su seguridad (robo de información incluyendo contraseñas, ejecución de otro código descargado de Internet sin el conocimiento de la víctima, etc.) Cuando se ejecuta por primera vez, se copia en la carpeta de Windows o del sistema, con un nombre al azar. Para permanecer oculto, inyecta su código en el mismo proceso del Explorer (Explorador de Windows), del MSN Messenger, o de cualquier otro proceso especificado aleatoriamente por el creador del troyano. NOTA 16/06/06: El 16 de junio de 2006, una variante de este troyano fue liberada por un exploit que se aprovechaba de una vulnerabilidad no documentada de Microsoft Excel, del tipo Zero-day (hecha pública antes de que exista un parche para este problema). Para autoejecutarse en cada reinicio de Windows, el troyano crea las siguientes entradas en el registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run [valor] = [nombre y camino del troyano] HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *[valor] = [nombre y camino del troyano] HKLM\Software\Microsoft\Windows\CurrentVersion\Run [valor] = [nombre y camino del troyano] HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *[valor] = [nombre y camino del troyano] El troyano monitorea constantemente estas entradas, pudiendo volver a crearlas si detecta que han sido borradas o modificadas. También puede crear la siguiente entrada: HKLM\SOFTWARE\Microsoft \Active Setup\Installed Components \{????????-????-????-????-????????????} StubPath = [camino del troyano] [número] Donde "????????-????-????-????-????????????" representan caracteres hexadecimales al azar. Por ejemplo: {61E8EECE-E1DG-4BB2-6E4A-D7E6G8E54HAC} El troyano permite a un atacante remoto, acciones como las siguientes, entre otras: - Actualizar el servidor del troyano - Capturar contraseñas - Capturar todo lo ingresado por el teclado - Cerrar, apagar o reiniciar el sistema infectado - Controlar el entorno Windows del equipo infectado - Crear capturas de la pantalla actual - Crear capturas de la Webcam - Descargar y ejecutar archivos - Desconectar y reconectar el equipo infectado a Internet - Instalar un proxy SOCKS4 - Listar y eliminar procesos y tareas activas - Mostrar ventanas con mensajes Para no ejecutarse más de una vez en memoria, crea el siguiente mutex: GARGAMELFLX101 Este troyano puede ser liberado por el siguiente "dropper": TrojanDropper.Agent.SG. Falsa herramienta de limpieza http://www.vsantivirus.com/trojandropper-agent-sg.htm NOTA: En ocasiones, el troyano puede estar dañado al copiarse en el equipo, siendo de este modo inofensivo. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el editor del registro, seleccione el menú desplegable "Edición", "Buscar", y escriba en la ventana "Buscar" que será desplegada, el nombre del archivo detectado en el punto 3 del ítem "Antivirus". 3. Haga clic en el botón "Buscar siguiente" y tome nota de la clave CLSID que aparezca, y luego bórrela. Por ejemplo, si aparece una entrada como ésta: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Active Setup \Installed Components \{????????-????-????-????-????????????} StubPath = [camino del troyano] [número] Borre la carpeta {????????-????-????-????-????????????}, donde los ???? representan caracteres hexadecimales. 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \RunOnce 7. Haga clic en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run 9. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunOnce 11. Haga clic en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 12. Cierre el editor del registro. 13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm [Última modificación: 17/06/06 02:50 -0300] * Publicado anteriormente: VSantivirus No. 1885 Año 9, domingo 4 de setiembre de 2005 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Mantenga actualizado su programa antivirus. De poco vale tener un antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. De todos modos, hoy en día las actualizaciones de la mayoría de los fabricantes son diarias y automáticas. Si tiene un producto que no se actualiza automáticamente, piense seriamente en cambiarlo. 2) No abra ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Tampoco haga clic en enlaces sugeridos en aquellos correos o mensajes instantáneos que no solicitó. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Manténgase informado de cómo operan los virus, y de las novedades sobre éstos, alertas y anuncios críticos, en sitios como el nuestro. 4) No descargue nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceda como con los archivos adjuntos. Cópielos a una carpeta y revíselos con su antivirus debidamente actualizado, antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 2167 Año 10, sábado 17 de junio de 2006

VSAntivirus y VSAyuda son servicios gratuitos de Video Soft Computación
Bergalli 462, Maldonado - Uruguay - Tel. 598 (42) 22 29 35