| Asunto: | VSantivirus No. 2204 Año 10, lunes 31 de julio de 2006 | | Fecha: | Domingo, 30 de Julio, 2006 23:27:29 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 2204 Año 10, lunes 31 de julio de 2006
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - ¿Que significa Internet para el pueblo de China?
2 - Levona.A. Deshabilita aplicaciones de seguridad
3 - TrojanClicker.VB.NAW. Simula clics en banners
4 - Spy.Goldun.LL. Roba cuentas de usuarios de E-gold
5 - Sality.K. Crea un acceso remoto y borra antivirus
_____________________________________________________________
1 - ¿Que significa Internet para el pueblo de China?
_____________________________________________________________
http://www.vsantivirus.com/china-310706.htm
¿Que significa Internet para el pueblo de China?
Por Emilio Baby
emilio@videosoft.net.uy
En el mundo de la seguridad informática, es muy común
escuchar que la mayoría de los ataques a la red, parezcan
tener su origen tras "el muro de fuego" chino, emulando la
famosa muralla con los actuales cortafuegos o firewalls que
protegen nuestras computadoras.
China también suele ser sinónimo de virus informáticos y de
spam. De sitios que sirven de hosts a delincuentes que
utilizando mensajes en forma de phishing, intentan engañar a
incautos navegantes para quedarse con sus cuentas bancarias.
Pero este artículo pretende profundizar un poco más sobre el
significado de Internet para su gente, porque el uso de la
red está lleno de matices, tantos como los tiene la vida
misma.
En China hay ciento diez millones de personas que usan
Internet en forma regular. Es un país que va en busca de las
ventajas del mundo informático mientras al mismo tiempo
mantiene estrictas medidas de censura.
¿Que significa Internet para el pueblo de China?
Para desentrañar el interrogante se han hecho entrevistas con
un escritor disidente, un cineasta y un periodista.
El escritor ha tomado parte en cada movimiento político
durante los últimos treinta años, incluyendo las
manifestaciones de 1989 en Tiananmen y en 1979 las realizadas
contra el movimiento de "la pared de la democracia". Ha
estado en prisión ya dos veces y sus artículos están
prohibidos en toda China. Su nombre es Liu Xiaobo.
En China, dice Liu, donde no hay libertad de expresión, el
rol de Internet es mucho mayor que en los países de Occidente
los cuales gozan de esa libertad. Desde los días de Mao
Zedong, las autoridades han creado una verdadera prisión
cerrada de la información. Hay solamente una voz. Pero con la
aparición de Internet, están apareciendo fisuras en toda la
prisión.
Dice Liu, "en los noventa, cuando yo escribía un artículo y
quería mandarlo a los medios extranjeros, tenía que montar mi
bicicleta a través de la ciudad para preguntar a mis amigos
extranjeros si podrían mandar por mí un fax con mis escritos.
Tenía suerte si podía mandar un artículo por mes de ese modo.
Y no podía ver nada que se hubiera escrito porque los medios
chinos no los publicaban. Con Internet puedo mandar mis
artículos por e-mail al extranjero inmediatamente que han
sido terminados. Internet ha cambiado mi vida
dramáticamente."
Más y más personas están usando programas desarrollados para
eludir el control de la autoridades y lograr acceso a los
sitios bloqueados. Todos los métodos utilizados por el
gobierno para bloquear el uso de Internet son condenados a la
ruina a causa de la tecnología y debido a que el público
desea más y más información.
Por su parte el periodista "free-lance", Li Xinde, de
cuarenta y tres años, frecuentemente trabajaba para un diario
controlado por el estado, pero gracias a Internet ahora se
siente como un verdadero periodista. El ha atravesado China
por tren buscando ver las injusticias y escándalos. En China
las nuevas revistas y publicaciones son sujeto de una
estricta censura. En general los medios son manipulados por
el partido en el gobierno. Esto significa que los medios son
la boca del Partido.
Todos los informes deben obedecer los lineamientos del
Partido. Es por eso que Li se retiró de los medios oficiales.
"Mi banco de pruebas es la verdad", nos dice. Un periodista
una vez le preguntó si se atrevía a hacer un reportaje de un
caso relacionado con un líder provincial. El dijo que se
atrevía si encontraba pruebas. "Con pruebas concretas no
tengo miedo de informar el caso," dice, "aún si el caso toca
a oficiales superiores."
Hu Ge es un cineasta que ha alcanzado alguna fama en la red
informática china por su último film "El imperio de la
migración repentina." En el mismo está tratada en forma
satírica la migración anual mas grande del mundo, cuando
cientos de trabajadores chinos abarrotan los trenes y se
dirigen a sus casas en las aldeas para las vacaciones del año
nuevo chino.
El hizo su filmación solo para compartirla con sus amigos.
Quería hacer algo gracioso con su película, pero dice que ha
visto que no ha podido hacerlo en ese tono. Pensó que el film
no podría haber sido visto por nadie mas y está sorprendido
de oír que mucha gente está viendo su video. Es una especie
de liberación para la gente que quiere publicar lo que
produce.
"En el pasado, si usted escribía canciones, hacía películas o
pintaba cuadros, debía tener un arreglo con una estación de
televisión, un productora de películas o un editor. Con
Internet en nuestros días se puede eludir esas organizaciones
tradicionales y cargar las obras directamente para la
audiencia."
* Fuente: Rupert Wingfield-Hayes - BBC News.
Inside the great firewall of China
http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.
uk/2/hi/technology/5191294.stm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Levona.A. Deshabilita aplicaciones de seguridad
_____________________________________________________________
http://www.vsantivirus.com/levona-a.htm
Nombre: Levona.A
Nombre NOD32: Win32/Levona.A
Tipo: Gusano de Internet
Alias: Levona.A, Email-Worm.Win32.Levona.a, I-Worm.Levona.A,
W32/Avon@MM, Win32.Worm.Levona.A, Win32/Levona.A,
Worm/Levona.A, WORM_LEVONA.A
Fecha: 4/jul/06
Plataforma: Windows 32-bit
Tamaño: 43.008 bytes (UPX)
Gusano que deshabilita ciertas aplicaciones de seguridad, y
se propaga como adjunto en respuestas a mensajes localizados
en la bandeja de entrada del programa de correo del usuario
infectado.
Al ejecutarse puede crear los siguientes archivos:
c:\program files\common files\renova.exe
c:\windows\mstry.exe
c:\windows\regedit.exe
c:\windows\system\msconfig.exe
c:\windows\system32\alisa.exe
c:\windows\system32\emma.exe
c:\windows\system32\msconfig.exe
c:\windows\system32\nova.exe
c:\windows\system32\regedit.exe
c:\winnt\regedit.exe
c:\winnt\system32\msconfig.exe
c:\winnt\system32\regedit.exe
d:\program files\common files\renova.exe
d:\windows\regedit.exe
d:\windows\system32\regedit.exe
d:\winnt\regedit.exe
d:\winnt\system32\regedit.exe
e:\program files\common files\renova.exe
e:\windows\regedit.exe
e:\windows\system32\regedit.exe
e:\winnt\regedit.exe
e:\winnt\system32\regedit.exe
f:\program files\common files\renova.exe
f:\windows\regedit.exe
f:\windows\system32\regedit.exe
f:\winnt\regedit.exe
f:\winnt\system32\regedit.exe
g:\program files\common files\renova.exe
g:\windows\regedit.exe
g:\windows\system32\regedit.exe
g:\winnt\regedit.exe
g:\winnt\system32\regedit.exe
Crea o modifica las siguientes entradas en el registro, para
autoejecutarse en cada reinicio, y para deshabilitar
herramientas de Windows, como el propio editor del registro,
etc.:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Renova = "Nova.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Shell = "Renova.exe"
HKCU\Software\Policies\Microsoft\Windows\System
DisableCMD = "0"
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = "1"
DisableSR = "1"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
ProductId = "RENOVA"
ProductName = "RENOVA"
RegisteredOrganization = "XENOVA"
RegisteredOwner = "RENOVA"
HKCU\Software\Microsoft\Windows\CurrentVersion
ProductId = "RENOVA"
ProductName = "RENOVA"
RegisteredOrganization = "XENOVA"
RegisteredOwner = "RENOVA"
HKCU\Control Panel\Desktop
AutoEndTasks = "1"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell = "[camino]\Renova.exe"
HKLM\SYSTEM\ControlSet[número]\Control\SafeBoot
AlternateShell = "[camino]\Renova.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe [camino]\Renova.exe"
Userinit = "Explorer.exe [camino]\Renova.exe"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
DisabletaskMgr = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Group Policy Objects\LocalUser\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\HideFileExt
Type =
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\NOHIDDEN
CheckedValue = "2"
DefaultValue = "2"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = "1"
DefaultValue = "2"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\HideFileExt
CheckedValue = "1"
DefaultValue = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
Hidden = "2"
HideFileExt = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoControlPanel = "0"
NoDriveTypeAutoRun = "91"
NoFind = "1"
NoFolderOptions = "0"
NoRun = "0"
NoSaveSettings = "0"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoControlPanel = "0"
NoFind = "1"
NoFolderOptions = "0"
NoRun = "0"
El gusano puede enviarse vía correo electrónico, reenviandose
como respuesta a mensajes obtenidos en la bandeja de entrada
de programas de correo. Los mensajes tienen las siguientes
características:
De: [usuario infectado]
Para: [usuario al que se responde]
Asunto: Re: [+ asunto del mensaje que corresponde]
Texto del mensaje:
Sorry, Saya lupa nih :)
Datos adjuntos: Nova.scr
El adjunto es una copia del propio gusano.
También intenta propagarse por redes P2P, copiándose en
carpetas compartidas por programas como KaZaa.
Intenta finalizar procesos que contengan las siguientes
cadenas en sus nombres:
10 2 5
10 TO 5
AB THREE
ACT.EXE
ADA BAND
ADABAND
ADVANCED REGISTRY TRACER
AGNES
AGUILERA
ALEXANDRIA.EXE
ALICIA KEYS
ALTER
ALLMYLIFETOLIVE.EXE
AMERICAN IDOL
ANANG
ANDRE HEHANU
ANTHEM
ANTIVIRUS STARTUP.EXE
ARI LASO
ARI LASSO
ARISTOTELES
ARTIKA_SARI.EXE
ARTIKA_SARI.SCR
ARTIKA_SARI_DEVI.SCR
ARY LASO
ARY LASSO
AURIL
AVAST
AVRIL
BAGASKARA
BASE JAM
BASEJAM
BEDING
BENINGTON
BENNINGTON
BLUEFANTASY.EXE
BOOMERANG
BOY ZONE
BR5271ON.EXE
BRITNEY
BUNGA
BUNGLON
CAFEIN
CAFFEIN
CANDIL
CASTLECOPS
CAV.EXE
CCAPPS.EXE
CEWENAKAL.SCR
CILIN
CILLIN
CKERNEL.PIF
CLEANER
COKELAT
COMMAND.COM
COMMAND.COM.BAT
COMPACTBYTEAV
CONFIRM.EXE
COULDNOTBREAK.EXE
CRANBER
CTFMON.EXE
CUEX44.EXE
CHEER
CHRISYE
DAHLIA
DANCE
DANGDUT
DEDI DOR
DEFAULT.PIF
DELON
DEMOCRA
DEMOKRA
DETAILS.EXE
DKERNEL.EXE
DKERNEL.PIF
DLHOST.EXE
DOCUMENTS.EXE
DRIVER PATCH.EXE
EARTHLINK PROTECTION
EKERNEL.PIF
EKSPLORASI.EXE
ELEMENT
ELNORB.EXE
EMANSIP
EMIKO SHIRATORI
EMINEM
ENDANK
EVERCOMES.SCR
FAYE WONG
FF.EXE
FILOSOF
FILSAFAT
FKERNEL.PIF
FLANELA
FOOBAR2000.EXE
FOTO.SCR
FRENTE
F-SECURE
GENDER
GHAZALI
GIBRAN
GITAR
GLENN
GREEN DAY
GREENDAY
GRISOFT
GROBAN
GROOVE COVARAGE
GUITAR
GUN AND ROSE
GUN N ROSE
GUN N'ROSES
GUNBLADE.EXE
HACKER
HADAD
HADDAD
HARUN NAS
HASAN ALBANA
HIJACK
HOOBASTANK
IEXPLORER.EXE
IKHWANUL MUSLIMIN
IMAMAH
INDONESIAN IDOL
INSTRUCTIONS.EXE
IRAMA
IWAN FAL
IZUTSU
JAMRUD
JAVA JIVE
JIKUSTIK
JOSHUA
KANGEN.EXE
KANGEN.HTM
KAPTEN BAND
KASPERSKY
KATON
KEANE
KESENJANGANSOSIAL.EXE
KILLBOX
KINDI
KISAH CINTA.EXE
KOES P
KOTAK BAND
KRISDAYANTI
LALUNA
LEXPLORER.EXE
LIBERAL
LINKIN PARK
LINKINPARK
LIVEFOREVER
LIVEFOREVER.EXE
LODCTR32.EXE
LOVE STORIES.EXE
LOVE STORY.EXE
LOVEOFYOURLIFE
MACHINE
MADONA
MADONNA
MANTIK
MARAWIS
MARCEL
MAROON
MARTIN
MARTYN
MATURID
MCAFEE
MELODI
MELODY
MELLY
MESSAGE.EXE
METALLICA
MICROSOFT OFFICE.PIF
MICHAEL
MICHEAL
MICHEL
MINORU
MMSVC32.EXE
MNTRNG.EXE
MOVIEX.EXE
MOVZX
MR_COOLFACE.COM
MS04028.EXE
MSCONFIG.EXE
MSFRWLL.EXE
MSPATCH.EXE
MSTRAY.EXE
MUSIC
MUSIK
MUTAZILAH
MU'TAZILAH
NASYID
NAZARE
NETSECR.EXE
NEVERSTOP.EXE
NEWNAME.BAT
NIA DANIAT
NIKE ARD
NOBUO
NORMAN
NORTON
NOUBUO
NUBUO
NUGIE
NUOBUO
NURHALIZA
NYANYI
OPICK
PACARGUE.SCR
PANDA
PARIS_HILTON.SCR
PARTAI
PAS BAND
PCMAV
PEARL
PETER
PHILOSOP
PIECESOFTHEPEACE.EXE
PLATO
PLURALISME
PROCCES.EXE
PROCESS EXPLORER - SYSINTERNALS
PROCEXP
PRODIGY
PSAPI.DLL
RABIAH
RABI'AH
RADIO HEAD
RADIOHEAD
RADJA
RAIHAN
RAKYATKELAPARAN.EXE
RAYHAN
README123.EXE
REALPLAYER
REGEDIT.EXE
REGISTRYFIX
REGSVCCHK.EXE
REMOVER
RIYANI_JANGKARU.EXE
ROMANTIC-DEVIL.R.EXE
RUNDLL.EXE
RUNDLL32.EXE
SAMIR
SAMMY
SAMSON
SARAHAZHARI.SCR
SAYBIA
SCORPION
SECUNIA
SENANDUNG
SERIEUS
SERIUES
SERVICES.COM
SEURIUS
SHARE32.EXE
SHEILA
Shell_TrayWnd
SHERINA
SISTINURHALIZA.EXE
SITI.EXE
SLANK
SMAN1_PKP.COM
SMAN1_PKP.PIF
SMANSA_PKP.COM
SMANSA_PKP.PIF
SNADA
SOPHOS
SPARK
SPICE
STEFAN
STILLALIVE.EXE
STING
STINGKY
SURAT_BUAT_PRESIDEN.EXE
SVCH0ST.EXE
SVCHOST.PIF
SYIAH
SYI'AH
SYMANTEC
SYSLOVE.EXE
SYS-ROMANTIC-DEVIL.R.VBS
SYSTEM.EXE
SYSTRAY.EXE
TAHRIR
TASAWUF
TASKMAN.EXE
TATA YOUNG
TEAM LO
TEN 2 FIVE
TEN TO FIVE
TEN2FIVE
TENTOFIVE
TEOLOGI
THE RAIN
TIC BAND
TIPE X
TIPE-X
TITIEK PUSPA
TITIK PUSPA
TREND
TSKMGR.EXE
TWINK_12.EXE
TWINK_16.EXE
TWINK_32.EXE
TWUNK_12.EXE
TWUNK_16.EXE
UEMATSU
UNINSTALLFIREFOX.EXE
UNTUKMU.EXE
UPDATE.EXE
UTOPIA
VAKSIN
VIRUS
VIRUS.EXE
WASHER
WAYANG
WELCOME.COM
WELCOMETOSYSTEM.EXE
WI.EXE
WIN32.COM
WINAMP
WINAMPA.EXE
WINDOWS.EXE
WINFILE.EXE
WINL0G0N.EXE
WINLOGON.COM
WINNT.EXE
WINZIP.EXE
XPSHARE.EXE
YUNAN
ZANARKAND.EXE
ZANDA
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Descargue el archivo indicado en el siguiente enlace:
http://www.videosoft.net.uy/restaurar3.reg
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Haga doble clic sobre el archivo descargado antes
(RESTAURAR3.REG), y acepte los cambios.
4. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
5. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
6. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Control Panel
\Desktop
3. Haga clic en la carpeta "Desktop", y en el panel de la
derecha, bajo la columna "Nombre", busque y cambie por el
siguiente valor esta entrada:
AutoEndTasks = "0"
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
5. Haga clic en la carpeta "CurrentVersion", y en el panel de
la derecha, bajo la columna "Nombre", busque y borre las
siguientes entradas:
ProductId = "RENOVA"
ProductName = "RENOVA"
RegisteredOrganization = "XENOVA"
RegisteredOwner = "RENOVA"
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
7. Haga clic en la carpeta "Advanced", y en el panel de la
derecha, bajo la columna "Nombre", busque y cambie por los
siguientes valores estas entradas:
Hidden = "1"
HideFileExt = "0"
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\Explorer
9. Haga clic en la carpeta "Explorer", y en la ventana de la
derecha, busque y borre las siguientes entradas:
NoDriveTypeAutoRun = "91"
NoSaveSettings = "0"
NoFolderOptions = "0"
NoFind = "1"
NoRun = "0"
NoControlPanel = "0"
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
11. Haga clic en la carpeta "Run" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
12. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Policies
\Microsoft
\Windows
\System
13. Haga clic en la carpeta "System", y en la ventana de la
derecha, busque y borre la siguiente entrada:
DisableCMD = "0"
14. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
15. Haga clic en la carpeta "CurrentVersion", y en el panel
de la derecha, bajo la columna "Nombre", busque y borre las
siguientes entradas:
ProductId = "RENOVA"
ProductName = "RENOVA"
RegisteredOrganization = "XENOVA"
RegisteredOwner = "RENOVA"
16. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
17. Haga clic en la carpeta "Winlogon", y en el panel de la
derecha, bajo la columna "Nombre", busque y cambie por los
siguientes valores estas entradas:
Shell = "Explorer.exe"
Userinit = "C:\WINDOWS\system32\userinit.exe,"
18. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
\Folder
\HideFileExt
19. Haga clic en la carpeta "HideFileExt", y en el panel de
la derecha, bajo la columna "Nombre", busque y cambie por el
siguiente valor esta entrada:
Type = "checkbox"
20. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
\Folder
\Hidden
\NOHIDDEN
21. Haga clic en la carpeta "NOHIDDEN", y en el panel de la
derecha, bajo la columna "Nombre", busque y cambie por los
siguientes valores estas entradas:
CheckedValue = "2"
DefaultValue = "2"
22. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
\Folder
\Hidden
\SHOWALL
23. Haga clic en la carpeta "SHOWALL", y en el panel de la
derecha, bajo la columna "Nombre", busque y cambie por los
siguientes valores estas entradas:
CheckedValue = "1"
DefaultValue = "2"
24. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
\Folder
\HideFileExt
25. Haga clic en la carpeta "HideFileExt", y en el panel de
la derecha, bajo la columna "Nombre", busque y cambie por los
siguientes valores estas entradas:
CheckedValue = "1"
DefaultValue = "1"
26. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Policies
\Explorer
27. Haga clic en la carpeta "Explorer", y en el panel de la
derecha, busque y borre las siguientes entradas:
NoControlPanel = "0"
NoFind = "1"
NoFolderOptions = "0"
NoRun = "0"
28. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
29. Haga clic en la carpeta "Run" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
30. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Policies
\Microsoft
\Windows NT
\SystemRestore
31. Haga clic en la carpeta "SystemRestore", y en el panel de
la derecha, busque y borre las siguientes entradas:
DisableConfig = "1"
DisableSR = "1"
32. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet[número]
\Control
\SafeBoot
33. Haga clic en la carpeta "SafeBoot", y en el panel de la
derecha, bajo la columna "Nombre", busque y cambie por el
siguiente valor esta entrada:
AlternateShell = "cmd.exe"
34. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\SafeBoot
35. Haga clic en la carpeta "SafeBoot", y en el panel de la
derecha, bajo la columna "Nombre", busque y cambie por el
siguiente valor esta entrada:
AlternateShell = "cmd.exe"
36. Cierre el editor del registro.
37. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - TrojanClicker.VB.NAW. Simula clics en banners
_____________________________________________________________
http://www.vsantivirus.com/trojanclicker-vb-naw.htm
Nombre: TrojanClicker.VB.NAW
Nombre NOD32: Win32/TrojanClicker.VB.NAW
Tipo: Caballo de Troya
Alias: TrojanClicker.VB.NAW, AdClicker-C.gen.dr,
Adware/AdClicker!012, Downloader.Zlob.AM, TR/Click.VB.EG.1,
Troj/AdClick-CS, Trojan.Adclicker, Trojan.Click.1234,
Trojan.Clicker.VB.EG, Trojan.Win32.VB.ami, Trojan/VB.ami,
Trojan:Win32/VB!A460, Win32/TrojanClicker.VB.NAW, Zlob.KHY
Fecha: 27/abr/06
Actualizado: 6/jun/06
Plataforma: Windows 32-bit
Tamaño: 37,423 bytes
Este troyano está diseñado para simular un clic de ratón
sobre los banners de publicidad en ciertas páginas de
Internet.
Cuando se ejecuta, crea una copia de si mismo en la carpeta
de inicio de Windows:
[carpeta de inicio]\Adobe Gamma Loader.exe
NOTA: [carpeta de inicio] es una de las siguientes:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\all users\menú inicio\programas\inicio
c:\documents and settings
\all users\start menu\programs\startup
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\all users\menú inicio\programas\inicio
c:\windows\all users\start menu\programs\startup
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]
\start menu\programs\startup
Intenta acceder a determinados sitios de Internet.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. Cierre el editor del registro.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Spy.Goldun.LL. Roba cuentas de usuarios de E-gold
_____________________________________________________________
http://www.vsantivirus.com/spy-goldun-ll.htm
Nombre: Spy.Goldun.LL
Nombre NOD32: Win32/Spy.Goldun.LL
Tipo: Caballo de Troya
Alias: Goldun.LL, Logger.Goldun.ll, PSW.Generic2.DEF, PWS-
Goldun, TR/Spy.Goldun.LL, Trj/Downloader.FDU, Troj/Goldun-DJ,
Trojan.Downloader.Gen, Trojan.PWS.GoldSpy, Trojan.Small.CWT,
Trojan-Spy.Win32.Goldun.ll, W32/Goldun.DJ!tr.spy,
W32/Goldun.MJ, W32/Goldun.XT, Win32/Essgol.AA,
Win32/Spy.Goldun.LL
Fecha: 24/jul/06
Actualizado: 27/jul/06
Plataforma: Windows 32-bit
Tamaño: 10,752 bytes
Este troyano intenta acceder a las cuentas de los usuarios de
E-Gold.com, un sitio dedicado al manejo de transacciones
comerciales en lingotes de oro.
En un sistema infectado, cuando el usuario intenta acceder a
la página de ingreso de E-Gold, el troyano accede a la misma
página sin conocimiento del usuario, e ingresa los mismos
datos que el usuario cree estar ingresando. Luego, el troyano
puede transferir dinero desde la cuenta accedida a otra
diferente.
Cuando se ejecuta, el troyano crea los siguientes archivos:
c:\windows\system32\msxlodst.dll
c:\windows\system32\msxlop.dll
\TEMP\bver.bat
\TEMP\epti.bat
\TEMP\screen.bmp
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
También crea las siguientes entradas para autoejecutarse como
un objeto BHO (Browser Helper Object), inyectando MSXLOP.DLL
y MSLODST.DLL en cada instancia del Internet Explorer:
HKCR\CLSID\{7548953E-4371-6552-6419-A43F26792311}
HKCR\CLSID\{78934132-3451-67A2-8919-678931572311}
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{78934132-3451-67A2-8919-678931572311}
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{7548953E-4371-6552-6419-A43F26792311}
El troyano almacena todos los datos ingresados (contraseñas,
etc.), y puede enviar esta información a otra máquina en
Internet, a través de un puerto TCP.
Otras funcionalidades del troyano:
- Abre una puerta trasera de acceso remoto
- Deshabilita antivirus, cortafuegos y otro software de
seguridad
- Esconde sus propios procesos, archivos y entradas en el
registro
- Evita que su proceso pueda ser eliminado
- Evita que sus archivos sean borrados
Suele ser distribuido por medio de spam, o descargado por
otros malwares.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
3. Haga clic en la carpeta "CLSID" y busque y borre las
siguientes subcarpetas:
\{7548953E-4371-6552-6419-A43F26792311}
\{78934132-3451-67A2-8919-678931572311}
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Browser Helper Objects
5. Haga clic en la carpeta "Browser Helper Objects" y busque
y borre las siguientes subcarpetas:
\{78934132-3451-67A2-8919-678931572311}
\{7548953E-4371-6552-6419-A43F26792311}
6. Cierre el editor del registro.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Sality.K. Crea un acceso remoto y borra antivirus
_____________________________________________________________
http://www.vsantivirus.com/sality-k.htm
Nombre: Sality.K
Nombre NOD32: Win32/Sality.K
Tipo: Gusano de Internet y caballo de Troya
Alias: Sality.K, Win32/Sality.K
Fecha: 30/jun/06
Plataforma: Windows 32-bit
Tamaño: 20 Kbytes (variable)
Se trata de un caballo de Troya con capacidades de acceso por
puerta trasera (trojan backdoor), y keylogger (captura de
información ingresada por el teclado).
También puede obtener información crítica del equipo
infectado (usuarios, contraseñas, etc.). Algunas variantes
poseen características de virus infector de ejecutables.
Puede borrar archivos relacionados con algunas aplicaciones
antivirus y también cortafuegos.
Cuando se ejecuta, crea algunos de los siguientes archivos:
\temp\oledsp32.dll
\temp\sysdll.dll
\temp\syslib32.dll
c:\windows\system32\oledsp32.dll
c:\windows\system32\sysdll.dll
c:\windows\system32\syslib32.dll
NOTA 1: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
NOTA 2: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
El troyano es capaz de capturar la siguiente información:
- Archivos de la aplicación WebMoney
- Configuración de la computadora (memoria, discos, etc.)
- Contraseñas de recursos compartidos
- Cuentas de acceso telefónico a redes
- Dirección IP, nombre del host y nombres de usuarios
- Programas que se ejecutan al inicio
- Versión instalada de Windows, llave de producto, etc.
La información capturada, es almacenada de forma encriptada
en el siguiente archivo:
c:\windows\system32\TFTempCache
Luego la misma puede ser enviada a diferentes direcciones
electrónicas ubicadas en Rusia, utilizando el siguiente
servidor SMTP:
msx.mail.ru
Los mensajes que envía, tienen las siguientes
características:
De: CyberMazafaka @ mailru.com
Para: sector2007 @ list .ru, bespontovik @ list .ru
Asunto: Administrator
Datos adjuntos: readme.tjc; TFTempCache.tjc
El troyano abre una puerta trasera y se conecta al siguiente
servidor de IRC, desde donde puede recibir instrucciones de
un usuario remoto:
rinet.msk.wenet.ru
Algunas de las posibles acciones que el atacante podrá
efectuar en el PC infectado:
- Descargar, instalar y ejecutar nuevos programas
- Enviar información robada a direcciones remotas
- Finalizar y borrar software antivirus
- Instalar un servidor proxy
En ocasiones, también infecta archivos ejecutables, agregando
su propio código al principio de los mismos. Para ello, busca
aquellos programas que figuren en las siguientes claves del
registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cuando actúa como infector de ejecutables, también puede
borrar archivos con las siguientes extensiones:
.avc
.key
.vdb
Además, intenta borrar archivos cuyos nombres comiencen con
las siguientes cadenas de texto (esto incluye conocidos
antivirus y cortafuegos):
Aler
Anda
Anti
Avp
Clean
Guar
Kav
Nod
Outp
Scan
Total
Tren
Troj
Zone
El troyano puede modificar el archivo SYSTEM.INI en la
carpeta de Windows (9x y Me), agregando las siguientes
entradas:
[TFTempCache]
id=[valor]
RtlMoveMeory=[valor]
PING=[valor]
TIME=[valor]
Cuando la fecha es 1 de mayo, o el día 10 o 12 de cualquier
mes, y las horas son iguales a los minutos, entonces puede
mostrar una ventana con el siguiente texto:
Win32.HLLP.Kuku v[número]
<<<<<Hey, Lamer! Say "Bye-bye" to your data! >>>>>
El troyano crea el siguiente mutex para no ejecutarse más de
una vez en memoria al mismo tiempo:
KUKU300a
Para comprobar la conectividad con Internet, intenta
conectarse al dominio de Microsoft.com.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Intente reparar los archivos detectados como infectados
(algunos archivos deberán ser borrados).
* Editar el SYSTEM.INI
1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
2. Busque las siguientes entradas, y si existen, bórrelas:
[TFTempCache]
id=[valor]
RtlMoveMeory=[valor]
PING=[valor]
TIME=[valor]
3. Grabe los cambios y salga del bloc de notas
4. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 2204 Año 10, lunes 31 de julio de 2006
|
VSantivirus No. 22
Responder a este mensaje
