vsantivirus.com - Mis eListas: vsantivirus: Mensajes

Inicio > Mis eListas > vsantivirus > Mensajes

Mensajes 1248 al 1267

Asunto	Autor
VSantivirus No. 21	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi
VSantivirus No. 22	VSAntivi

<< 20 ant. | 20 sig. >>

VSAntivirus

Página principal

Mostrando mensaje 1233 < Anterior | Siguiente >

Responder a este mensaje

Asunto: VSantivirus No. 2181 Año 10, martes 4 de julio de 2006
Fecha: 4 de Julio, 2006 07:57:23 (+0200)
Autor: VSAntivirus.com <vsantivirus @...........com>

VSantivirus No. 2181 Año 10, martes 4 de julio de 2006 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Ejecución de código en Opera al manejar imagen JPG 2 - DoS en Opera al manejar atributo HREF muy extenso 3 - DoS en Opera al manejar hojas de estilo malformadas 4 - Falsificación de certificados SSL en Opera 5 - Kebede.L. Borra software de seguridad y de Windows 6 - Kebede.M. Borra software de seguridad y de Windows 7 - Detnat.A. Infecta .EXE en recursos compartidos 8 - Bobax.AX. Utiliza e-mail y la vulnerabilidad LSASS 9 - Bobax.AW. Utiliza e-mail y la vulnerabilidad LSASS _____________________________________________________________ 1 - Ejecución de código en Opera al manejar imagen JPG _____________________________________________________________ http://www.vsantivirus.com/vul-opera-jpeg.htm Ejecución de código en Opera al manejar imagen JPG Por Angela Ruiz angela@videosoft.net.uy Las versiones anteriores a la 9.0 de Opera, son afectadas por una vulnerabilidad explotable de forma remota, que puede provocar la ejecución de código a partir de un desbordamiento de búfer. El problema es ocasionado por un error del programa al no comprobar el tamaño de la memoria asignada, antes de utilizar los valores indicados para el alto y el ancho en una imagen JPEG. La vulnerabilidad permite a un atacante remoto la ejecución arbitraria de código en el contexto del usuario actual, por el simple hecho de visualizar una página web maliciosa. * Software vulnerable: - Opera Web Browser 5.0 Linux - Opera Web Browser 5.0 Mac - Opera Web Browser 5.02 Win32 - Opera Web Browser 5.10 Win32 - Opera Web Browser 5.11 Win32 - Opera Web Browser 5.12 - Opera Web Browser 5.12 Win32 - Opera Web Browser 6.0 - Opera Web Browser 6.0 Win32 - Opera Web Browser 6.0.1 - Opera Web Browser 6.0.1 Linux - Opera Web Browser 6.0.1 Win32 - Opera Web Browser 6.0.2 Linux - Opera Web Browser 6.0.2 Win32 - Opera Web Browser 6.0.3 Linux - Opera Web Browser 6.0.3 Win32 - Opera Web Browser 6.0.4 Win32 - Opera Web Browser 6.0.5 Win32 - Opera Web Browser 6.0.6 Win32 - Opera Web Browser 6.06 - Opera Web Browser 6.10 Linux - Opera Web Browser 7.0 1Win32 - Opera Web Browser 7.0 2Win32 - Opera Web Browser 7.0 3Win32 - Opera Web Browser 7.0 Win32 - Opera Web Browser 7.0 Win32 Beta 1 - Opera Web Browser 7.0 Win32 Beta 2 - Opera Web Browser 7.10 - Opera Web Browser 7.11 - Opera Web Browser 7.11b - Opera Web Browser 7.11j - Opera Web Browser 7.20 - Opera Web Browser 7.20 Beta 1 build 2981 - Opera Web Browser 7.21 - Opera Web Browser 7.22 - Opera Web Browser 7.23 - Opera Web Browser 7.50 - Opera Web Browser 7.51 - Opera Web Browser 7.52 - Opera Web Browser 7.53 - Opera Web Browser 7.54 - Opera Web Browser 8 Beta 3 - Opera Web Browser 8.0 - Opera Web Browser 8.01 - Opera Web Browser 8.02 - Opera Web Browser 8.50 - Opera Web Browser 8.51 - Opera Web Browser 8.52 - Opera Web Browser 8.53 - Opera Web Browser 8.54 * Software NO vulnerable: - Opera Web Browser 9 * Soluciones: Actualizarse a las versiones 9.0 o superior. NOTA: Recientemente han sido detectadas vulnerabilidades en la versión 9 de Opera, pero las mismas son menos peligrosas que la indicada en esta alerta, ya que no se conoce que puedan llegar a ejecutar código. Descarga de Opera http://www.opera.com/download/ * Más información: Opera JPEG Processing Integer Overflow Vulnerability (VMSA- 20060621-01) http://www.securityfocus.com/archive/1/438074 Opera Web Browser JPEG Image Handling Remote Buffer Overflow Vulnerability http://www.securityfocus.com/bid/18594/info * Créditos: Chris Ries (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - DoS en Opera al manejar atributo HREF muy extenso _____________________________________________________________ http://www.vsantivirus.com/vul-opera-href-210606.htm DoS en Opera al manejar atributo HREF muy extenso Por Angela Ruiz angela@videosoft.net.uy Se ha hecho pública una vulnerabilidad en Opera 9.0 y anteriores, capaz de ser explotada por un atacante para provocar una denegación de servicio (DoS). El problema es ocasionado por el acceso a una zona de memoria no válida, cuando la aplicación intenta manejar un atributo HREF extremadamente largo, en un documento HTML modificado maliciosamente. Un atacante remoto puede provocar la caída del programa, si convence al usuario para visitar un sitio web conteniendo una página modificada para que ello ocurra. La vulnerabilidad no puede ser utilizada para la ejecución de código. * Software vulnerable: - Opera Browser 9.0 y anteriores * Soluciones: Al momento actual, no se conocen soluciones oficiales. * Más información: Advisory: A very large href attribute value in HTML can crash Opera http://www.opera.com/support/search/supsearch.dml?index=835 Opera Browser HTML "href" Attribute Handling Remote Denial of Service Vulnerability http://www.frsirt.com/english/advisories/2006/2617 Opera 9 DoS by Critical Security, Advisory #009 http://www.critical.lt/?vuln/349 * Créditos: Povilas Tumënas (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - DoS en Opera al manejar hojas de estilo malformadas _____________________________________________________________ http://www.vsantivirus.com/vul-opera-stylesheet.htm DoS en Opera al manejar hojas de estilo malformadas Por Angela Ruiz angela@videosoft.net.uy Opera es propenso a una vulnerabilidad del tipo denegación de servicio. El problema se debe a un error de la aplicación al no manejar correctamente una situación no prevista, provocada por el manejo de una entrada IFRAME combinada con JavaScript en la implementación de un documento StyleSheet (hoja de estilo). Un atacante puede aprovecharse de esta vulnerabilidad de forma remota (sitio web malicioso), para hacer que el navegador deje de responder. No se conocen otras consecuencias a este problema, el cuál está catalogado como no crítico. * Software afectado: - Opera Web Browser 9.0 * Soluciones: No se conocen soluciones oficiales a este problema. NOTA: Recientemente han sido detectadas varias vulnerabilidades en la versión 9 de Opera, pero las mismas son menos peligrosas que otras existentes en versiones anteriores. * Más información: OPERA Web Browser 9 Denial OF Service http://www.securityfocus.com/archive/1/438872 Opera Document StyleSheet Denial Of Service Vulnerability http://www.securityfocus.com/bid/18758/info * Créditos: Ahmad Muammar W.K (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Falsificación de certificados SSL en Opera _____________________________________________________________ http://www.vsantivirus.com/vul-opera-ssl.htm Falsificación de certificados SSL en Opera Por Angela Ruiz angela@videosoft.net.uy La versión 8.54 del navegador Opera (y posiblemente anteriores) es propensa a una falsificación de su barra de seguridad. Un atacante puede explotar esto a través de un sitio web malicioso, para falsificar las credenciales de autenticación de un sitio de tal modo que el usuario lo crea seguro. Este tipo de ataque es ampliamente utilizado en casos de phishing para el robo de cuentas bancarias, tarjetas de crédito, etc. * Software vulnerable: - Opera Web Browser 8.54 (y posiblemente anteriores) * Software NO vulnerable: - Opera Web Browser 9 * Soluciones: Actualizarse a las versiones 9.0 o superior. NOTA: Recientemente han sido detectadas vulnerabilidades en la versión 9 de Opera, pero las mismas son menos peligrosas que la indicada en esta alerta, ya que no se conoce que puedan llegar a ejecutar código. Descarga de Opera http://www.opera.com/download/ * Más información: Opera SSL Certificate "Stealing" Weakness http://secunia.com/secunia_research/2006-49/advisory/ Opera SSL Certificate Spoofing Weakness http://www.securityfocus.com/bid/18692 * Créditos: Jakob Balle, Secunia Research. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Kebede.L. Borra software de seguridad y de Windows _____________________________________________________________ http://www.vsantivirus.com/kebede-l.htm Nombre: Kebede.L Nombre NOD32: Win32/Kebede.L Tipo: Gusano de Internet Alias: Kebede.L, Kedebe.L, Win32/Kebede.L Fecha: 2/jul/06 Plataforma: Windows 32-bit Gusano que se propaga masivamente por correo electrónico y redes P2P. Puede borrar aplicaciones relacionadas con la seguridad. Los mensajes infectados, poseen las siguientes características: De: [uno de los siguientes nombres] adam Administrator alex alice andrew anna bill bini bob brenda brent brian calvin claudia christoph daniel dave david debby Diversity Visa Lottery fred george helen jack james jane jerry jimmy joe john jose julie kevin linda Mail Administrator maria mary matt Microsoft Windows Update michael mike peter ray robert sami sandra smith stan steve ted tom Las direcciones pueden tener uno de los siguientes dominios: @gto.net.com @jmc.demon.co.uk @sv.span.com @wilma.widomaker.com @writeme.com @yahoo.com Asunto: [uno de los siguientes] **WARNING** Account Currently Disabled **WARNING** Your Internet account *Breaking News* Michael Jackson Died *IMPORTANT* Microsoft Windows Automatic Update disabled *IMPORTANT* You Won Diversity Visa Lottery! [sin asunto] Administrator Author of Mydoom has been ARRESTED! FOR GIRLS ONLY!!, Boys FOR THE LAST TIME!! Fw: Fw: Osama Bin Laden has been arrested! Fw: Fw: The 'SECRET' behind John Paul's death I'm going to somewhere It seems a good day!! J Lo with no closes ON!! John Paul's death and the doctors... let's chat here... Make sure u are alone PaRtY tonight??! Password Re: hi RE: the document WE NEED TO TALK. Welcome back You chat room friend you_lied Your Information Texto del mensaje: [uno de los siguientes] Ejemplo 1: For girls only!! Ejemplo 2: you again!! c ya! Ejemplo 3: no hay sitio para ...!! Ejemplo 4: Are you alone? The have fun ;) Ejemplo 5: This is for the last time. Answer me. Ejemplo 6: I'm back with the password. Hit me back Ejemplo 7: i have found a new chat rooms, see you there. Ejemplo 8: Call me when you finish reading the document Ejemplo 9: We were waiting for u! Group pic is available. Ejemplo 10: Hey we need to talk. Read the attachment and hit me back Ejemplo 11: HeEeLLLoOoOoO! Party tonight???!!! Let me KnOw what's up. Ejemplo 12: I'm on vacation, what about you? Check out my girl, N-A-K-E-D!! Ejemplo 13: hey it's me from the chat room, remember? anyway I've sent u my pic. let me know wussup. Ejemplo 14: Attached is a confidential information about the Webs you browsed. The list was logged since 2004. Ejemplo 15: [The mail client could not display the picture due to high resolution on the graphics. Contents has been attached as a hexadecimal text.] Ejemplo 16: [BODY REMOVED] Ejemplo 17: [NEW DOCUMENT ATTACHED] Ejemplo 18: Microsoft has also released a new form that the sender can fill in and take the money. The sender is urged to send his/her post address to Microsoft or SCO using the attached form. Ejemplo 19: Your IP was logged because you accessed porn related sites. Attached is list of sites you visited and information about your Internet account. Ejemplo 20: someone sent me this document which is stolen from a secret government body and deals about John Paul's death. It says he was killed by two 'doctors' who were hired by some government bodies. The text attached contains all the story behind his death and who these doctors are. Ejemplo 21: We have found that Windows Automatic Update is not enabled on your computer and Windows could not update itself. This may have happened because your system is infected with a latest virus. We recommend you to download updates manually and install on your system. We have sent you Microsoft Windows Malicious Software Removal Tool. Scan your system with this software and delete any file detected as virus. Then try to update Windows. This message was sent automatically from the Microsoft Windows Update Web site. Microsoft Corporation (c) 2001-2005. All rights reserved. Ejemplo 22: A new Worm is spreading by using Michael Jackson's death. "After the death of the famous pop star, Michael Jackson, during the acciedent yesterday, new computer Worms appeared to use the news as a subject", said Graham Cluley, senior technology consultant at Sophos. This Worm has 10 different subjects which made it spread widely. All the characterstics of the e-mail are attached in text document. "System and server administrators are advised to read/know the characterstics of the Worm," urges Sophos. Sophos would also like to express its grief about the pop star's death. Sophos Internet Worm Protection Center. ++Attachment: No Virus Found(Clean text document) ++Scanner: Sophos Anti-virus Ejemplo 23: You have won this year's diversity visa lottery. We reommend you to start the process as soon as possible. Read the attached document for more information. The Visa Lottery Commite. Ejemplo 24: I have attached it :) -Original Message- From: horst .schaeffer @ gmx .net To: bini@gmx.net Sent: horst .schaeffer @ gmx .net Subject: the document > Please send me that document, thanx > > > Ejemplo 25: Microsoft is proud to announce the latest version of Windows-Long Horn. What make this version special is that it is the only Microsoft's product with component's source code available to 3rd party. Full documentation is attached document. We have also included Windows Media Player 10's source code. Microsoft Corporation (c) 1993 - 2006 Ejemplo 26: Microsoft has just annouced the arrest of the author of the Internet Worm "MyDoom". Microsoft says, "Someone sent us an e-mail that has a document about the location where the author live. Even though the information true and led us to the arrest of the author, the sender didn't mention about himself so that we are unable to give him the $500,000 reward. And the author of MyDoom has be found to be a former Microsoft's employee fired becuase of his discipline." Now Microsoft and SCO are confused to whom to give the reward. Microsoft has also released a new form that the sender can fill in and take the money. The sender is urged to send his/her post address to Microsoft or SCO using the attached form. This message was sent because of your registration at: To unregister, just go to http: // www .bbc .co .uk/ Ejemplo 27: Big day huh! What a great surprise! I've just read on Arab site that Osama bin Laden has been arested by the US soldiers. It's lot to talk here. I just copied the whole text in Notepad and attached it. Nice news huh?! Ejemplo 28: You will not be able to log on to your account anymore. See the attac Ejemplo 29: I don't know how to say it, but it is really annoying thing that happened on John Paul the 2nd. He was killed by two 'doctors' who were hired by some security firms. The text attached contains all the story behind his death. Please, try to forward this document to all your relatives and reveal the truth. Datos adjuntos: [uno de los siguientes] Account.doc.??? attached_document.doc.??? Bin_Laden_Arrested.??? Bin_Laden_Arrested.txt.??? body.txt.??? contents.txt.??? characters.txt.??? chat_server.??? chat_server.txt.??? details.??? ditail.txt.??? document.doc.??? files.txt.??? Full_Story.doc.??? group_photo.??? Hex_Pic.doc.??? Hex_Picture.txt.??? Important.doc.??? Info.txt.??? JohnPaul.txt.??? JohnPaul_Death.Doc.??? message.doc.??? messaggio.doc.??? microsoft.doc.??? Microsoft_Documentation.??? Microsoft_form.??? Microsoft_form.doc.??? my_girl.jpg.??? my_pics.jpeg.??? my_pictur.jpeg.??? party_location.txt.??? password.doc.??? photo.jpg.??? read_carefully.??? Removal_tool.??? Sex stories.txt.??? True_Ezin.doc.??? where_the_party_is.doc.??? with_this_girl.jpg.??? worm_characters.txt.??? you_lied.??? you_lied.txt.??? your_document.doc.??? Donde la extensión .??? puede ser una de las siguientes: .exe .com .cab Cuando se ejecuta se copia en la carpeta del sistema: c:\windows\system32\[nombre] Donde [nombre] puede ser uno de los siguientes: dlhost.exe locator.exe logman.exe logonui.exe lsas.exe nbtstat.exe recover.exe regedt32.exe rundl32.exe services.exe svchost.exe telnet.exe user.exe usrinit.exe winhlp32.exe winlogon.exe winspol.exe wuauclt.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). El gusano puede abrir el bloc de notas y mostrar el siguiente texto: This document cannot be run under old version. [caracteres al azar] Please install latest version of Notepad. [caracteres al azar] Crea algunas de las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run [nombre] = [nombre y camino del gusano] HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows load = [nombre y camino del gusano] HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Run = [nombre y camino del gusano] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [nombre] = [nombre y camino del gusano] Crea o modifica la siguiente entrada: HKLM\SOFTWARE\Microsoft\MediaPlayer\Player Player Already Configured = "True" También borra la siguiente entrada: HKCU\Software\Microsoft\Windows\CurrentVersion\Windows\Run MSMSGS = "[camino]\msmsgs.exe" Para propagarse, utiliza su propio motor SMTP. Las direcciones utilizadas, son extraídas de archivos en la máquina infectada, con las siguientes extensiones: .abc .asp .dbxm .dhtm .doc .eml .htm .inbox .js .msg .nws .oft .php .rtf .stm .txt .vcf .wab .xhtm .xml El gusano modifica el archivo HOSTS, para evitar que el usuario pueda acceder a los siguientes sitios desde un equipo infectado: avp .com cm2 .zonelabs .com definitions .symantec .com dispatch .mcafee .com download .com download .mcafee .com download .zonelabs .com downloads1 .kaspersky-labs .com downloads2 .kaspersky-labs .com downloads3 .kaspersky-labs .com downloads4 .kaspersky-labs .com downloads-eu1 .kaspersky-labs .com downloads-us1 .kaspersky-labs .com kaspersky .com liveupdate .symantecliveupdate .com mcafee .com microsoft .com nai .com networkassociates .com rads .mcafee .com securityresponse .symantec .com sophos .com symantec .com trendmicro .com update .zonelabs .com updates .symantec .com us .mcafee .com viruslist .com windowsupdate .com www .avp .com www .download .com www .f-secure .com www .kaspersky .com www .kaspersky-labs .com www .mcafee .com www .microsoft .com www .nai .com www .networkassociates .com www .sophos .com www .symantec .com www .trendmicro .com www .windowsupdate .com www .zonelabs .com El gusano también intenta finalizar los procesos cuyos nombres contengan algunas de las siguientes cadenas y borrar los archivos relacionados, la mayoría pertenecientes a aplicaciones de seguridad, antivirus y también a otros malwares: agle alar alert anti ants aplica32 apvxdwin atcon atro55en bd_professional bidef bidserver bisp bla bootwarn borg2 bs120 ccapp clean cmd command cwnt deputy dpf drwebupw edit ent fast firewall fp-win_trial frw gbmenu gbpoll gcas guard hacktracersetup hijack htlog hwpe iamapp iamserv icload icssuppnt icsupp95 icsuppnt ifw2000 iparmor iris jammer kerio ldpro localnet lockdown lsetup luall lucoms llssev main mca mgr mgui minilog mntor mon moolive mrflux msconfig msinfo32 mssmmc32 mu0311ad nc2000 ncinst4 ndd32 netarmor netinfo netstat norto ntvdm nvarch16 nwinst4 nwtool16 ostronet outpost panixk pdsetup periscope persfw platin port ppinupdt pptbc ppvstop proc protect proxy pspf purge pview95 reg rescue rtvscn95 rulaunch safe sbserv scan setupvameeval sgssfw32 shell shn smc smsrss sndsrvc sofi sopho spbbcsvc spf sphinx spy st2 stinger supftrl syma syn titanin tracert trjsetup trojan undoboot update upgrade virus zon También intenta borrar los siguientes archivos del sistema: shell.exe taskmon.exe lsass.exe svchost.exe services.exe explorer.exe shimgapi.dll smsrss.exe regedit.exe El gusano también crea varios mutex, relacionados con otros malwares como BAGLE, MYTOB y NETSKY, para prevenir que los mismos se ejecuten en los equipos infectados. Intenta hacer varias copias de si mismo en todas las carpetas que contengan en sus nombres las cadenas "shared" o "download", usando algunos de los siguientes nombres de archivos: DVD ripper keygen.com Flash MX 2005 Serial.exe Internet Explorer 7.0 Installer.com Microsoft AntiSpyware Patch.com MSN Mesenger 7.0 Installer.com Naked girls screen saver.scr Norton Personal Firewal 2005 Patch.com porn download links.txt Sasser removal tool.com Sasser Source Code.Sfx.com Sasser Source code.txt School girls getting fucked.com Spyware remover.com Turbo C++.pif UPX EXE packer 2.4.com W32.Kebede Removal tool.com Win Server 2003 Remote Exploit.cmd Windows XP Pro BUG FIX 2.com WinRAR 4.2.com ZoneAlarm Security Suite 2005 Crack.com * Reparación manual IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que dependerá del daño causado por el gusano desde el momento de ocurrida la infección, hasta el momento de su detección. Por ejemplo, las aplicaciones relacionadas con los archivos eliminados deberán ser reinstaladas. * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows NT \CurrentVersion \Windows 5. Haga clic en la carpeta "Windows" y en el panel de la derecha, busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". Ejemplos: load = [nombre y camino del gusano] Run = [nombre y camino del gusano] 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MediaPlayer \Player 9. Haga clic en la carpeta "Player" y borre la siguiente entrada: Player Already Configured = "True" 10. Cierre el editor del registro. 11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. 6. Reinicie su computadora. * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - Kebede.M. Borra software de seguridad y de Windows _____________________________________________________________ http://www.vsantivirus.com/kebede-m.htm Nombre: Kebede.M Nombre NOD32: Win32/Kebede.M Tipo: Gusano de Internet Alias: Kebede.M, Kedebe.M, Win32/Kebede.M Fecha: 3/jul/06 Plataforma: Windows 32-bit Gusano que se propaga masivamente por correo electrónico y redes P2P. Puede borrar aplicaciones relacionadas con la seguridad. Los mensajes infectados, poseen las siguientes características: De: [uno de los siguientes nombres] adam Administrator alex alice andrew anna bill bini bob brenda brent brian calvin claudia christoph daniel dave david debby Diversity Visa Lottery fred george helen jack james jane jerry jimmy joe john jose julie kevin linda Mail Administrator maria mary matt Microsoft Windows Update michael mike peter ray robert sami sandra smith stan steve ted tom Las direcciones pueden tener uno de los siguientes dominios: @gto.net.com @jmc.demon.co.uk @sv.span.com @wilma.widomaker.com @writeme.com @yahoo.com Asunto: [uno de los siguientes] **WARNING** Account Currently Disabled **WARNING** Your Internet account *Breaking News* Michael Jackson Died *IMPORTANT* Microsoft Windows Automatic Update disabled *IMPORTANT* You Won Diversity Visa Lottery! [sin asunto] Administrator Author of Mydoom has been ARRESTED! FOR GIRLS ONLY!!, Boys FOR THE LAST TIME!! Fw: Fw: Osama Bin Laden has been arrested! Fw: Fw: The 'SECRET' behind John Paul's death I'm going to somewhere It seems a good day!! J Lo with no closes ON!! John Paul's death and the doctors... let's chat here... Make sure u are alone PaRtY tonight??! Password Re: hi RE: the document WE NEED TO TALK. Welcome back You chat room friend you_lied Your Information Texto del mensaje: [uno de los siguientes] Ejemplo 1: For girls only!! Ejemplo 2: you again!! c ya! Ejemplo 3: no hay sitio para ...!! Ejemplo 4: Are you alone? The have fun ;) Ejemplo 5: This is for the last time. Answer me. Ejemplo 6: I'm back with the password. Hit me back Ejemplo 7: i have found a new chat rooms, see you there. Ejemplo 8: Call me when you finish reading the document Ejemplo 9: We were waiting for u! Group pic is available. Ejemplo 10: Hey we need to talk. Read the attachment and hit me back Ejemplo 11: HeEeLLLoOoOoO! Party tonight???!!! Let me KnOw what's up. Ejemplo 12: I'm on vacation, what about you? Check out my girl, N-A-K-E-D!! Ejemplo 13: hey it's me from the chat room, remember? anyway I've sent u my pic. let me know wussup. Ejemplo 14: Attached is a confidential information about the Webs you browsed. The list was logged since 2004. Ejemplo 15: [The mail client could not display the picture due to high resolution on the graphics. Contents has been attached as a hexadecimal text.] Ejemplo 16: [BODY REMOVED] Ejemplo 17: [NEW DOCUMENT ATTACHED] Ejemplo 18: Microsoft has also released a new form that the sender can fill in and take the money. The sender is urged to send his/her post address to Microsoft or SCO using the attached form. Ejemplo 19: Your IP was logged because you accessed porn related sites. Attached is list of sites you visited and information about your Internet account. Ejemplo 20: someone sent me this document which is stolen from a secret government body and deals about John Paul's death. It says he was killed by two 'doctors' who were hired by some government bodies. The text attached contains all the story behind his death and who these doctors are. Ejemplo 21: We have found that Windows Automatic Update is not enabled on your computer and Windows could not update itself. This may have happened because your system is infected with a latest virus. We recommend you to download updates manually and install on your system. We have sent you Microsoft Windows Malicious Software Removal Tool. Scan your system with this software and delete any file detected as virus. Then try to update Windows. This message was sent automatically from the Microsoft Windows Update Web site. Microsoft Corporation (c) 2001-2005. All rights reserved. Ejemplo 22: A new Worm is spreading by using Michael Jackson's death. "After the death of the famous pop star, Michael Jackson, during the acciedent yesterday, new computer Worms appeared to use the news as a subject", said Graham Cluley, senior technology consultant at Sophos. This Worm has 10 different subjects which made it spread widely. All the characterstics of the e-mail are attached in text document. "System and server administrators are advised to read/know the characterstics of the Worm," urges Sophos. Sophos would also like to express its grief about the pop star's death. Sophos Internet Worm Protection Center. ++Attachment: No Virus Found(Clean text document) ++Scanner: Sophos Anti-virus Ejemplo 23: You have won this year's diversity visa lottery. We reommend you to start the process as soon as possible. Read the attached document for more information. The Visa Lottery Commite. Ejemplo 24: I have attached it :) -Original Message- From: horst .schaeffer @ gmx .net To: bini@gmx.net Sent: horst .schaeffer @ gmx .net Subject: the document > Please send me that document, thanx > > > Ejemplo 25: Microsoft is proud to announce the latest version of Windows-Long Horn. What make this version special is that it is the only Microsoft's product with component's source code available to 3rd party. Full documentation is attached document. We have also included Windows Media Player 10's source code. Microsoft Corporation (c) 1993 - 2006 Ejemplo 26: Microsoft has just annouced the arrest of the author of the Internet Worm "MyDoom". Microsoft says, "Someone sent us an e-mail that has a document about the location where the author live. Even though the information true and led us to the arrest of the author, the sender didn't mention about himself so that we are unable to give him the $500,000 reward. And the author of MyDoom has be found to be a former Microsoft's employee fired becuase of his discipline." Now Microsoft and SCO are confused to whom to give the reward. Microsoft has also released a new form that the sender can fill in and take the money. The sender is urged to send his/her post address to Microsoft or SCO using the attached form. This message was sent because of your registration at: To unregister, just go to http: // www .bbc .co .uk/ Ejemplo 27: Big day huh! What a great surprise! I've just read on Arab site that Osama bin Laden has been arested by the US soldiers. It's lot to talk here. I just copied the whole text in Notepad and attached it. Nice news huh?! Ejemplo 28: You will not be able to log on to your account anymore. See the attac Ejemplo 29: I don't know how to say it, but it is really annoying thing that happened on John Paul the 2nd. He was killed by two 'doctors' who were hired by some security firms. The text attached contains all the story behind his death. Please, try to forward this document to all your relatives and reveal the truth. Datos adjuntos: [uno de los siguientes] Account.doc.??? attached_document.doc.??? Bin_Laden_Arrested.??? Bin_Laden_Arrested.txt.??? body.txt.??? contents.txt.??? characters.txt.??? chat_server.??? chat_server.txt.??? details.??? ditail.txt.??? document.doc.??? files.txt.??? Full_Story.doc.??? group_photo.??? Hex_Pic.doc.??? Hex_Picture.txt.??? Important.doc.??? Info.txt.??? JohnPaul.txt.??? JohnPaul_Death.Doc.??? message.doc.??? messaggio.doc.??? microsoft.doc.??? Microsoft_Documentation.??? Microsoft_form.??? Microsoft_form.doc.??? my_girl.jpg.??? my_pics.jpeg.??? my_pictur.jpeg.??? party_location.txt.??? password.doc.??? photo.jpg.??? read_carefully.??? Removal_tool.??? Sex stories.txt.??? True_Ezin.doc.??? where_the_party_is.doc.??? with_this_girl.jpg.??? worm_characters.txt.??? you_lied.??? you_lied.txt.??? your_document.doc.??? Donde la extensión .??? puede ser una de las siguientes: .exe .com .cab Cuando se ejecuta se copia en la carpeta del sistema: c:\windows\system32\[nombre] Donde [nombre] puede ser uno de los siguientes: dlhost.exe locator.exe logman.exe logonui.exe lsas.exe nbtstat.exe recover.exe regedt32.exe rundl32.exe services.exe svchost.exe telnet.exe user.exe usrinit.exe winhlp32.exe winlogon.exe winspol.exe wuauclt.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). El gusano puede abrir el bloc de notas y mostrar el siguiente texto: This document cannot be run under old version. [caracteres al azar] Please install latest version of Notepad. [caracteres al azar] Crea algunas de las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run [nombre] = [nombre y camino del gusano] HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows load = [nombre y camino del gusano] HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Run = [nombre y camino del gusano] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [nombre] = [nombre y camino del gusano] Crea o modifica la siguiente entrada: HKLM\SOFTWARE\Microsoft\MediaPlayer\Player Player Already Configured = "True" También borra la siguiente entrada: HKCU\Software\Microsoft\Windows\CurrentVersion\Windows\Run MSMSGS = "[camino]\msmsgs.exe" Para propagarse, utiliza su propio motor SMTP. Las direcciones utilizadas, son extraídas de archivos en la máquina infectada, con las siguientes extensiones: .abc .asp .dbxm .dhtm .doc .eml .htm .inbox .js .msg .nws .oft .php .rtf .stm .txt .vcf .wab .xhtm .xml El gusano modifica el archivo HOSTS, para evitar que el usuario pueda acceder a los siguientes sitios desde un equipo infectado: avp .com cm2 .zonelabs .com definitions .symantec .com dispatch .mcafee .com download .com download .mcafee .com download .zonelabs .com downloads1 .kaspersky-labs .com downloads2 .kaspersky-labs .com downloads3 .kaspersky-labs .com downloads4 .kaspersky-labs .com downloads-eu1 .kaspersky-labs .com downloads-us1 .kaspersky-labs .com kaspersky .com liveupdate .symantecliveupdate .com mcafee .com microsoft .com nai .com networkassociates .com rads .mcafee .com securityresponse .symantec .com sophos .com symantec .com trendmicro .com update .zonelabs .com updates .symantec .com us .mcafee .com viruslist .com windowsupdate .com www .avp .com www .download .com www .f-secure .com www .kaspersky .com www .kaspersky-labs .com www .mcafee .com www .microsoft .com www .nai .com www .networkassociates .com www .sophos .com www .symantec .com www .trendmicro .com www .windowsupdate .com www .zonelabs .com El gusano también intenta finalizar los procesos cuyos nombres contengan algunas de las siguientes cadenas y borrar los archivos relacionados, la mayoría pertenecientes a aplicaciones de seguridad, antivirus y también a otros malwares: agle alar alert anti ants aplica32 apvxdwin atcon atro55en bd_professional bidef bidserver bisp bla bootwarn borg2 bs120 ccapp clean cmd command cwnt deputy dpf drwebupw edit ent fast firewall fp-win_trial frw gbmenu gbpoll gcas guard hacktracersetup hijack htlog hwpe iamapp iamserv icload icssuppnt icsupp95 icsuppnt ifw2000 iparmor iris jammer kerio ldpro localnet lockdown lsetup luall lucoms llssev main mca mgr mgui minilog mntor mon moolive mrflux msconfig msinfo32 mssmmc32 mu0311ad nc2000 ncinst4 ndd32 netarmor netinfo netstat norto ntvdm nvarch16 nwinst4 nwtool16 ostronet outpost panixk pdsetup periscope persfw platin port ppinupdt pptbc ppvstop proc protect proxy pspf purge pview95 reg rescue rtvscn95 rulaunch safe sbserv scan setupvameeval sgssfw32 shell shn smc smsrss sndsrvc sofi sopho spbbcsvc spf sphinx spy st2 stinger supftrl syma syn titanin tracert trjsetup trojan undoboot update upgrade virus zon También intenta borrar los siguientes archivos del sistema: shell.exe taskmon.exe lsass.exe svchost.exe services.exe explorer.exe shimgapi.dll smsrss.exe regedit.exe El gusano también crea varios mutex, relacionados con otros malwares como BAGLE, MYTOB y NETSKY, para prevenir que los mismos se ejecuten en los equipos infectados. Intenta hacer varias copias de si mismo en todas las carpetas que contengan en sus nombres las cadenas "shared" o "download", usando algunos de los siguientes nombres de archivos: DVD ripper keygen.com Flash MX 2005 Serial.exe Internet Explorer 7.0 Installer.com Microsoft AntiSpyware Patch.com MSN Mesenger 7.0 Installer.com Naked girls screen saver.scr Norton Personal Firewal 2005 Patch.com porn download links.txt Sasser removal tool.com Sasser Source Code.Sfx.com Sasser Source code.txt School girls getting fucked.com Spyware remover.com Turbo C++.pif UPX EXE packer 2.4.com W32.Kebede Removal tool.com Win Server 2003 Remote Exploit.cmd Windows XP Pro BUG FIX 2.com WinRAR 4.2.com ZoneAlarm Security Suite 2005 Crack.com * Reparación manual IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que dependerá del daño causado por el gusano desde el momento de ocurrida la infección, hasta el momento de su detección. Por ejemplo, las aplicaciones relacionadas con los archivos eliminados deberán ser reinstaladas. * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows NT \CurrentVersion \Windows 5. Haga clic en la carpeta "Windows" y en el panel de la derecha, busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". Ejemplos: load = [nombre y camino del gusano] Run = [nombre y camino del gusano] 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MediaPlayer \Player 9. Haga clic en la carpeta "Player" y borre la siguiente entrada: Player Already Configured = "True" 10. Cierre el editor del registro. 11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. 6. Reinicie su computadora. * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 7 - Detnat.A. Infecta .EXE en recursos compartidos _____________________________________________________________ http://www.vsantivirus.com/detnat-a.htm Nombre: Detnat.A Nombre NOD32: Win32/Detnat.A Tipo: Virus infector de ejecutables Alias: Detnat.A, Win32/Detnat.A Fecha: 13/abr/06 Actualizado: 2/jul/06 Plataforma: Windows 32-bit Virus infector de ejecutables, con la capacidad de propagarse por recursos compartidos en redes. Cuando se ejecuta, busca todos los archivos .EXE en todos los recursos compartidos y los infecta. Cuando un archivo infectado se ejecuta, lo copia en la misma carpeta con el mismo nombre pero precedido por un espacio en blanco y lo desinfecta para que pueda ejecutarse normalmente. El virus también puede descargar un archivo desde Internet. Al momento actual se trata de un troyano del tipo robador de contraseñas. El archivo descargado es guardado con un nombre como el siguiente: netrun?.exe Donde "?" es un dígito al azar. El virus examina la presencia de la carpeta C:\RECYCLED en el sistema. Si no la detecta, la crea para liberar allí una copia de si mismo con el siguiente nombre: c:\recycled\svch0st.exe También intenta descargar y ejecutar otro malware desde diferentes sitios de Internet. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 8 - Bobax.AX. Utiliza e-mail y la vulnerabilidad LSASS _____________________________________________________________ http://www.vsantivirus.com/bobax-ax.htm Nombre: Bobax.AX Nombre NOD32: Win32/Bobax.AX Tipo: Gusano de Internet y caballo de Troya Alias: Bobax.AX, Win32/Bobax.AX Fecha: 3/jul/06 Plataforma: Windows 32-bit Tamaño: 40 KB Este gusano se propaga como adjunto en un mensaje de correo electrónico. Para ello utiliza su propio motor SMTP. También intenta utilizar las vulnerabilidades en LSASS.EXE y en el componente PNP de Windows XP y 2000 para propagarse. Con la vulnerabilidad en LSASS.EXE, el gusano puede infectar equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario. Examina rangos de direcciones IP en busca de máquinas vulnerables. Si las encuentra, explota un desbordamiento de búfer en el componente LSASS.EXE para crear en el equipo remoto un shell (consola de comandos), que utilizará para descargarse y luego ejecutarse en él. En ocasiones esto ocasiona un fallo en LSASS.EXE que reiniciará al equipo. El gusano también intenta propagarse utilizando la vulnerabilidad en el servicio Plug and Play de Windows, descripta en el boletín de seguridad MS05-039. Para ello busca sistemas vulnerables enviando paquetes SYN por el puerto TCP 445. Si el ataque tiene éxito (solo en equipos con Windows 2000 sin el parche MS05-039), ejecuta un shell en el equipo remoto para descargar y ejecutar una copia de si mismo vía FTP. Para propagarse por correo electrónico, obtiene las direcciones a las que se envía, de la libreta de direcciones de Windows, del caché del .NET Messenger, y de archivos del disco duro con las siguientes extensiones (esto incluye las carpetas de mensajes del Outlook Express): .dbx .htm .txt Cuando se ejecuta, crea el siguiente archivo: c:\windows\system32\[nombre al azar].exe También crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [nombre al azar] = [camino y nombre del ejecutable] HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices [nombre al azar] = [camino y nombre del ejecutable] NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000). También modifica el archivo HOSTS para que múltiples sitios relacionados con antivirus y otras aplicaciones de seguridad, no puedan ser accedidos desde una máquina infectada. Intenta deshabilitar aplicaciones antivirus y los mensajes del "Centro de seguridad" de Windows XP SP2, configurando las siguientes entradas del registro: HKLM\SOFTWARE\Microsoft\Security Center AntiVirusDisableNotify = "dword:00000001" HKLM\SOFTWARE\Microsoft\Security Center AntiVirusOverride = "dword:00000001" HKLM\SOFTWARE\Microsoft\Security Center FirewallDisableNotify = "dword:00000001" HKLM\SOFTWARE\Microsoft\Security Center FirewallOverride = "dword:00000001" HKLM\SOFTWARE\Microsoft\Security Center UpdatesDisableNotify = "dword:00000001" HKLM\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy\DomainProfile EnableFirewall = "dword:00000000" HKLM\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy\DomainProfile DoNotAllowExceptions = "dword:00000000" HKLM\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy\StandardProfile EnableFirewall = "dword:00000000" HKLM\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy\StandardProfile DoNotAllowExceptions = "dword:00000000 Además, intentará descargar de Internet algunos archivos no maliciosos. Cuando el gusano se ejecuta, no es visible en la lista de procesos. * Reparación manual * IMPORTANTE: Si no lo ha hecho aún, descargue y ejecute estos parches antes de proceder al resto de la limpieza, desde el siguiente enlace: MS04-011 Actualización crítica (LSASS) (835732) http://www.vsantivirus.com/vulms04-011.htm MS05-039 Vulnerabilidad en Plug and Play (899588) http://www.vsantivirus.com/vulms05-039.htm * Cortafuegos Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Security Center 7. Haga clic en la carpeta "Security Center" y en el panel de la derecha, bajo la columna "Datos", busque y cambie los valores para las siguientes entradas del registro, de modo que todas valgan "0": AntiVirusDisableNotify = 0 AntiVirusOverride = 0 FirewallDisableNotify = 0 FirewallOverride = 0 UpdatesDisableNotify = 0 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \SharedAccess \Parameters \FirewallPolicy \DomainProfile 9. Haga clic en la carpeta "DomainProfile" y en el panel de la derecha, borre las siguientes entradas: EnableFirewall DoNotAllowExceptions 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \SharedAccess \Parameters \FirewallPolicy \StandardProfile 11. Haga clic en la carpeta "StandardProfile" y en el panel de la derecha, bajo la columna "Datos", busque y cambie los valores para las siguientes entradas del registro, de modo que queden con los siguientes: EnableFirewall = 1 DoNotAllowExceptions = 0 12. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 9 - Bobax.AW. Utiliza e-mail y la vulnerabilidad LSASS _____________________________________________________________ http://www.vsantivirus.com/bobax-aw.htm Nombre: Bobax.AW Nombre NOD32: Win32/Bobax.AW Tipo: Gusano de Internet y caballo de Troya Alias: Bobax.AW, Win32/Bobax.AW Fecha: 2/jul/06 Plataforma: Windows 32-bit Tamaño: 40 KB Este gusano se propaga como adjunto en un mensaje de correo electrónico. Para ello utiliza su propio motor SMTP. También intenta utilizar las vulnerabilidades en LSASS.EXE y en el componente PNP de Windows XP y 2000 para propagarse. Con la vulnerabilidad en LSASS.EXE, el gusano puede infectar equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario. Examina rangos de direcciones IP en busca de máquinas vulnerables. Si las encuentra, explota un desbordamiento de búfer en el componente LSASS.EXE para crear en el equipo remoto un shell (consola de comandos), que utilizará para descargarse y luego ejecutarse en él. En ocasiones esto ocasiona un fallo en LSASS.EXE que reiniciará al equipo. El gusano también intenta propagarse utilizando la vulnerabilidad en el servicio Plug and Play de Windows, descripta en el boletín de seguridad MS05-039. Para ello busca sistemas vulnerables enviando paquetes SYN por el puerto TCP 445. Si el ataque tiene éxito (solo en equipos con Windows 2000 sin el parche MS05-039), ejecuta un shell en el equipo remoto para descargar y ejecutar una copia de si mismo vía FTP. Para propagarse por correo electrónico, obtiene las direcciones a las que se envía, de la libreta de direcciones de Windows, del caché del .NET Messenger, y de archivos del disco duro con las siguientes extensiones (esto incluye las carpetas de mensajes del Outlook Express): .dbx .htm .txt Cuando se ejecuta, crea el siguiente archivo: c:\windows\system32\[nombre al azar].exe También crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [nombre al azar] = [camino y nombre del ejecutable] HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices [nombre al azar] = [camino y nombre del ejecutable] NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000). También modifica el archivo HOSTS para que múltiples sitios relacionados con antivirus y otras aplicaciones de seguridad, no puedan ser accedidos desde una máquina infectada. Intenta deshabilitar aplicaciones antivirus y los mensajes del "Centro de seguridad" de Windows XP SP2, configurando las siguientes entradas del registro: HKLM\SOFTWARE\Microsoft\Security Center AntiVirusDisableNotify = "dword:00000001" HKLM\SOFTWARE\Microsoft\Security Center AntiVirusOverride = "dword:00000001" HKLM\SOFTWARE\Microsoft\Security Center FirewallDisableNotify = "dword:00000001" HKLM\SOFTWARE\Microsoft\Security Center FirewallOverride = "dword:00000001" HKLM\SOFTWARE\Microsoft\Security Center UpdatesDisableNotify = "dword:00000001" HKLM\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy\DomainProfile EnableFirewall = "dword:00000000" HKLM\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy\DomainProfile DoNotAllowExceptions = "dword:00000000" HKLM\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy\StandardProfile EnableFirewall = "dword:00000000" HKLM\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy\StandardProfile DoNotAllowExceptions = "dword:00000000 Además, intentará descargar de Internet algunos archivos no maliciosos. Cuando el gusano se ejecuta, no es visible en la lista de procesos. * Reparación manual * IMPORTANTE: Si no lo ha hecho aún, descargue y ejecute estos parches antes de proceder al resto de la limpieza, desde el siguiente enlace: MS04-011 Actualización crítica (LSASS) (835732) http://www.vsantivirus.com/vulms04-011.htm MS05-039 Vulnerabilidad en Plug and Play (899588) http://www.vsantivirus.com/vulms05-039.htm * Cortafuegos Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Security Center 7. Haga clic en la carpeta "Security Center" y en el panel de la derecha, bajo la columna "Datos", busque y cambie los valores para las siguientes entradas del registro, de modo que todas valgan "0": AntiVirusDisableNotify = 0 AntiVirusOverride = 0 FirewallDisableNotify = 0 FirewallOverride = 0 UpdatesDisableNotify = 0 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \SharedAccess \Parameters \FirewallPolicy \DomainProfile 9. Haga clic en la carpeta "DomainProfile" y en el panel de la derecha, borre las siguientes entradas: EnableFirewall DoNotAllowExceptions 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \SharedAccess \Parameters \FirewallPolicy \StandardProfile 11. Haga clic en la carpeta "StandardProfile" y en el panel de la derecha, bajo la columna "Datos", busque y cambie los valores para las siguientes entradas del registro, de modo que queden con los siguientes: EnableFirewall = 1 DoNotAllowExceptions = 0 12. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Mantenga actualizado su programa antivirus. De poco vale tener un antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. De todos modos, hoy en día las actualizaciones de la mayoría de los fabricantes son diarias y automáticas. Si tiene un producto que no se actualiza automáticamente, piense seriamente en cambiarlo. 2) No abra ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Tampoco haga clic en enlaces sugeridos en aquellos correos o mensajes instantáneos que no solicitó. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Manténgase informado de cómo operan los virus, y de las novedades sobre éstos, alertas y anuncios críticos, en sitios como el nuestro. 4) No descargue nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceda como con los archivos adjuntos. Cópielos a una carpeta y revíselos con su antivirus debidamente actualizado, antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 2181 Año 10, martes 4 de julio de 2006

VSAntivirus y VSAyuda son servicios gratuitos de Video Soft Computación
Bergalli 462, Maldonado - Uruguay - Tel. 598 (42) 22 29 35