| Asunto: | VSantivirus No. 2209 Año 10, sábado 5 de agosto de 2 006 | | Fecha: | Sabado, 5 de Agosto, 2006 03:08:11 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 2209 Año 10, sábado 5 de agosto de 2006
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Doce boletines de seguridad para Windows y Office
2 - Privacidad del e-mail en el lugar de trabajo
3 - Banwarum.G. Se propaga usando mensajes en alemán
4 - Medbot.H. Compromete la seguridad del sistema
5 - PSW.Sinowal.NAA. Captura el teclado y roba información
6 - Mocalo.DL. Utiliza e-mail y P2P, deshabilita firewall
_____________________________________________________________
1 - Doce boletines de seguridad para Windows y Office
_____________________________________________________________
http://www.vsantivirus.com/adelanto-parches.htm
Doce boletines de seguridad para Windows y Office
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
[Publicado con autorización de Enciclopedia Virus]
Microsoft planea para este mes, un total de doce boletines de
seguridad, 10 de ellos relacionados con Microsoft Windows, y
dos con Microsoft Office. Los mismos serán publicados el
próximo martes 8 de agosto.
El máximo nivel en que están catalogados los parches
anunciados, es el de "Crítico", tanto los de Microsoft
Windows, como los de Microsoft Office.
En la mayoría de los casos, la instalación de los parches
requerirá el reinicio de los equipos.
Cómo anunciamos el pasado mes, ya no se publicarán parches
para Windows 98 y Me.
Microsoft publicará también el martes 8, al menos dos
actualizaciones no relacionadas con la seguridad, a través de
Microsoft Update (MU) y Windows Server Update Services
(WSUS).
Vía Windows Update, Microsoft Update, Windows Server Update
Services y el centro de descargas, estará disponible como es
costumbre, una versión actualizada del "Microsoft Windows
Malicious Software Removal Tool", software que examina el PC
en busca de virus, gusanos, troyanos y otra clase de malwares
conocidos, pero que no mostrará al usuario mensaje alguno, a
no ser que se detecte algún código sospechoso.
Los detalles de las vulnerabilidades cubiertas por estos
boletines de seguridad, no son revelados por Microsoft, para
evitar que personas maliciosas saquen provecho de las mismas,
antes de que éstas hayan sido solucionadas.
Se ignora cuáles de las vulnerabilidades más recientes que se
han hecho públicas, serán cubiertas por estos parches.
* Relacionado
Los siguientes parámetros son los utilizados por Microsoft
para catalogar sus boletines, de acuerdo a la importancia o
urgencia de las actualizaciones:
* Crítico. Una vulnerabilidad cuya explotación puede permitir
la propagación de un gusano de Internet sin la intervención
del usuario.
* Importante. Una vulnerabilidad cuya explotación podría
comprometer la confidencialidad, la integridad o la
disponibilidad de datos y archivos del usuario, o de los
recursos del sistema.
* Moderado. La explotación de una vulnerabilidad está
significativamente mitigada por factores como la
configuración por defecto, la intervención del usuario o la
dificultad para realizarla.
* Baja. Una vulnerabilidad cuya explotación es muy difícil, o
cuyo impacto es mínimo.
* Más información:
Microsoft Security Bulletin Advance Notification
www.microsoft.com/technet/security/bulletin/advance.mspx
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en
VSAntivirus.com con la respectiva autorización. Los derechos
de republicación para su uso en otro medio, deberán
solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
www.enciclopediavirus.com/noticias/verNoticia.php?id=646
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Privacidad del e-mail en el lugar de trabajo
_____________________________________________________________
http://www.vsantivirus.com/na-05-08-06.htm
Privacidad del e-mail en el lugar de trabajo
Por Nela Adans
nela@videosoft.net.uy
Aunque se aplica a casos concretos ocurridos en los Estados
Unidos, este interesante artículo nos acerca un poco al tema
de la privacidad del correo electrónico, aún cuando no en
todos los países pueden aplicarse los mismos conceptos, y en
muchos ni siquiera existan leyes claras al respecto.
Incluso con una política de privacidad corporativa bien
delimitada, que indica que todas las comunicaciones del
empleado se pueden supervisar en el lugar de trabajo, la
legalidad de la supervisión del correo electrónico, no es tan
clara como uno puedo pensar.
Usted es un empresario. Tiene una política bien escrita y
bien distribuida sobre privacidad en el lugar de trabajo.
Expresamente indica que los empleados no tienen NINGUNA
privacidad en lo que hacen.
Usted es el propietario del hardware, el software, y la red.
Se reserva el derecho de controlar cada golpe de teclado,
cada sitio Web, cada e-mail, cada sesión IM, cada
conversación de chat, e incluso controla la música que puedan
escuchar en sus iPods (para que no se dispersen del trabajo).
Hace que sus empleados reconozcan que usted tiene el derecho
de hacer tal supervisión, e incluso ellos juran que
consienten en tal supervisión.
Sus abogados examinan el caso legalmente y encuentran esto:
en un caso, donde un empresario ha procurado monitorear las
comunicaciones informáticas de los empleados y existiendo un
reglamento indicando que ocurriría así, los tribunales han
sostenido que el empleado no tiene ninguna posibilidad
razonable de privacidad en el contenido de su e-mail
corporativo.
Hasta aquí parece claro el tema, pero ¿es tan así?
Algunos estados norteamericanos como Massachussets, Michigan,
Nevada, Carolina del Sur y Washington, requieren el
consentimiento de todos los participantes para registrar el
contenido de una conversación o la comunicación telefónica.
Estados como California, Delaware, Florida, Hawai, Illinois,
Luisiana, Maryland, Montana y Pennsylvania, amplían
expresamente esta filosofía de "consentimiento de todos los
participantes" a las comunicaciones "electrónicas".
Frecuentemente han surgido conflictos, sobre que ley se
aplica cuando la parte que hace interceptar y la parte que es
interceptada están en diversos estados. Y han habido
diferentes fallos, según en que estado se presentó el caso.
Estas discusiones legales alrededor de la privacidad del
correo electrónico comenzaron con el escándalo del gigante de
las telecomunicaciones: Worldcom, ¿lo recuerdan?.
Kelly Kearney y Mark Levy viven en California y trabajaban
para una compañía de ese estado que fue adquirida por
Worldcom. Sus acciones en esa compañía fueron manejadas por
la sucursal de Atlanta del Barney Salomon Smith (SSB),
integrante del Citigroup.
Cuando sus acciones se hundieron, y descubrieron que sus
llamadas telefónicas de California a Atlanta habían sido
grabadas rutinariamente en Atlanta, demandaron a SSB.
Así es como el problema comenzó:
Kearney y Levy no sabían que estaban siendo grabados. Bajo
las leyes de California, no se puede grabar la conversación
de alguien sin decírselo.
Por supuesto, en Georgia no existe esta ley y es allí en
donde las grabaciones fueron hechas realmente.
La ley de Georgia requiere solamente que uno de los
participantes de la conversación, de el consentimiento a la
grabación para hacerla legal, así, puede registrar sus
propias conversaciones o, si su jefe ha obtenido su
consentimiento, también puede registrar su conversación con
otras personas.
California en cambio, requiere que cada una de las partes de
su consentimiento a la supervisión de la llamada.
Cuando Kearney y Levy descubrieron que fueron grabados en
Atlanta, demandaron bajo la ley de California.
El caso, Kearny v. Salomon Smith Barney, en realidad se
centró en el concepto del "conflicto de leyes" --o qué hacer
cuando un estado permite la conducta que otro estado prohíbe-
-.
El 17 de julio, la Corte Suprema de California dictaminó que
el interés de California en promover la privacidad prevalece.
Reconociendo esto, se cerró el caso. La corte no aplicó
sanción retroactiva, y no multó a SSB por sus acciones.
Representa esencialmente un triunfo de los intereses de la
privacidad sobre otros intereses.
En muchos estados, la misma ley que prohíbe la interceptación
o la grabación de las llamadas telefónicas también prohíbe la
interceptación o la grabación de comunicaciones informáticas
sin el consentimiento de todas las partes.
Regular la interceptación de comunicaciones informatizadas,
es mucho más complicado que la de escuchar o grabar las
llamadas telefónicas.
Las leyes distinguen típicamente entre interceptar una
comunicación (y la grabación de la misma) y tener acceso
cuando ya está almacenada.
Interceptar o registrar una conversación requiere el
consentimiento de todos los participantes. Pero típicamente
no lo requiere el tener acceso después de que se haya
almacenado (aunque hay protecciones legales para las
comunicaciones almacenadas).
El problema aquí es técnico y legal. ¿Cuándo podemos hablar
exactamente de un e-mail "interceptado"?. Hace algunos años,
en una corte federal de apelaciones en Boston, United States
v. Councilman., se planteó si un operador de una librería on-
line violó la ley, leyendo los mensajes de los clientes sin
sus consentimientos. El tema se centró en si los correos
fueron interceptados "en la transmisión" o no.
La mayoría opinaba que la interceptación, "incluye el
almacenaje electrónico transitorio, que es intrínseco al
proceso de tales comunicaciones."
Pero no decidieron qué sucede "después de que un mensaje ha
cruzado la línea final de la transmisión". La discrepancia se
planteaba en que la prohibición de las escuchas telefónicas
en cuanto a interceptar comunicaciones informatizadas, no se
aplica cuando éstas comunicaciones están en almacenaje
electrónico. Y si ocurre tal almacenaje pre o post-entrega, y
aunque el almacenaje dure solamente algunas milésimas de
segundo.
De hecho, los e-mail realmente nunca se interceptan. Mientras
que los correos "viajan" a través de Internet, no lo hacen
físicamente. El mensaje "original" permanece en el servidor,
permitiendo que su copia viaje al punto de la salida
siguiente.
De hecho, sería imposible leer un mail "en la transmisión",
hay que detenerla y luego rearmarla para conseguir que
aparezca en la pantalla.
Así, permitir que leamos un correo electrónico solamente con
el consentimiento de una de las partes, cuenta con un vacío
legal, que principalmente está, en esta ficción legal de que
el e-mail "está recibido" y almacenado, y en si el receptor
ya lo ha visto o no.
En otro caso, un habitante de California, Weibin Jiang fue
arrestado por una ofensa sexual y utilizó la computadora de
su patrón para comunicarse con sus defensores, conservando
estos archivos en un subdirectorio.
A pesar de que la computadora pertenecía a la compañía, y el
Sr. Jiang firmó un acuerdo expreso que indicaba que él sabía
que no tenía privacidad en nada que estuviera situado en las
locales de la compañía y/o pertenecieran a la compañía, la
corte encontró que el gobierno no podría utilizar los
expedientes grabados por el patrón, debido a los privilegios
cliente-abogado.
Así que incluso el consentimiento puede no ser completamente
eficaz. Todo está supeditado a que sea de carácter razonable.
¿Qué ocurre entonces sobre el derecho del patrón de leer
todos los correos?
Si esos correos no tienen el consentimiento de todos los
participantes, y uno de los participantes (remitente o
receptor), vive en una jurisdicción que por ley se necesite
el consentimiento de todas las partes, entonces esto podría
ser una interceptación ilegal bajo la ley de un estado (la
ley federal requiere solamente el consentimiento de una de
las partes).
Pero luego del fallo de la Corte Suprema de California, puede
no importar estar en un estado en el que se necesite
solamente la autorización de una de las partes.
Ahora nos encontramos en el punto donde la mayoría de la
gente estaría de acuerdo en que la declaración de que: "yo no
espero privacidad en los correos que utilizo en el trabajo",
se aplique, tanto al contenido del e-mail relacionado
estrictamente al trabajo, como al correo personal enviado
desde las computadoras o las redes de sus jefes. O sea,
ninguna privacidad.
Pero, a pesar de este hecho, si sondemos a las personas,
encontraremos que en realidad sí esperan privacidad, tanto en
los correos corporativos como en los personales usados en el
trabajo, y estas expectativas son razonables.
¿Encontramos aceptable leer los e-mail de nuestro compañero
de escritorio en el monitor, solamente por curiosidad? y más
exactamente ¿Podemos leer el correo de nuestros jefes?
Si el contrario de "privado" es ciertamente, "público", ¿hace
esto, que todo e-mail sea "público?". Por supuesto, que no.
Contamos con que el e-mail se pueda leer por la persona a la
que lo enviamos, y que esa persona puede reenviarlo.
Contamos con que los ejecutivos de mayor rango que el nuestro
en la empresa, e incluyendo al administrador de sistema,
pueden también leerlo para los propósitos legítimos del
negocio, y no para la curiosidad ociosa.
El acceso se puede conceder si es para los propósitos de la
empresa, propósitos reguladores, objeto de aplicación de la
ley, u otros propósitos legítimos.
Pero eso no significa que no haya una privacidad, aunque ésta
sea muy limitada.
* Referencias:
E-mail privacy in the workplace
http://www.securityfocus.com/print/columnists/412
LATEST CALIFORNIA CASE LAW
http://california.lp.findlaw.com/ca02_caselaw/7_2006ca.html
United States v. Councilman
http://www.epic.org/privacy/councilman/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Banwarum.G. Se propaga usando mensajes en alemán
_____________________________________________________________
http://www.vsantivirus.com/banwarum-g.htm
Nombre: Banwarum.G
Nombre NOD32: Win32/Banwarum.G
Tipo: Gusano de Internet
Alias: Banwarum.G, Win32/Banwarum.G
Fecha: 5/ago/06
Plataforma: Windows 32-bit
Gusano que se propaga por correo electrónico, en mensajes que
incluyen asuntos y textos diferentes, todos en alemán.
Algunos de estos textos están relacionados con el pasado
campeonato mundial de fútbol Alemania 2006.
Los textos de los mensajes están contenidos en formato texto,
o en formato GIF -una imagen del texto- visible solo si se
lee el mensaje en formato HTML. En todos los casos, los
textos incluyen una contraseña que permite abrir el adjunto
en formato .ZIP o .RAR protegido por clave (el archivo
contiene un .EXE con el mismo nombre).
El archivo .EXE presenta una doble extensión, agregando
cierta cantidad de espacios entre las dos, para engañar al
usuario y hacerle creer que se trata de una inofensiva
imagen. Por ejemplo:
Tickets.gif .exe
free_videos.gif .exe
Cuando el EXE es ejecutado, el siguiente archivo es creado en
el sistema:
c:\windows\system32\mszsrn32.dll
Este DLL es inyectado en el mismo proceso de WINLOGON.EXE, de
tal forma que queda oculto mientras se está ejecutando en un
equipo infectado. Esto también asegura que vuelva a
ejecutarse cada vez que el equipo se reinicia. Para ello, la
siguiente entrada es creada en el sistema:
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\mszsrn32
Dentro de la clave MSZSRN32, son creadas varias entradas que
el gusano utiliza para su ejecución:
Asynchronous = "1"
DllName = "c:\windows\system32\mszsrn32.dll"
Impersonate = "0"
Startup = "Startup"
Type = "2"
El gusano intenta conectarse a determinados sitios de
Internet via HTTP (TCP 80). Puede enviar información del
equipo infectado, o descargar archivos que contengan nuevas
instrucciones para su funcionamiento.
Algunas de esas direcciones:
http: // 5dime.net/
http: // 7stick.biz/
http: // 7stick.info/
http: // brancholania.biz/
http: // brancholania.net/
http: // frachetto.com/
http: // frachetto.info/
http: // monti2.com/
http: // olania.com/
http: // olania.net/
También puede abrir una puerta trasera por un puerto
seleccionado al azar.
Para propagarse por correo electrónico, el gusano utiliza su
propio motor SMTP.
Para obtener direcciones electrónicas, examina todos los
archivos en todas las unidades de disco del sistema que
posean las siguientes extensiones:
.adb
.asa
.asc
.asm
.asp
.cgi
.con
.csp
.csv
.dbx
.dlt
.doc
.dwt
.edm
.hta
.htc
.htm
.html
.inc
.jsp
.jst
.lbi
.php
.rdf
.rss
.sht
.ssi
.stm
.tbb
.tbi
.txt
.vbp
.vbs
.wml
.xht
.xls
.xml
.xsd
Los mensajes que utiliza para propagarse tienen las
siguientes características:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
1000 Euro von der Postbank
Adressanten Umsonst mein Arschficken ab 18 Jahren!
akte
Anzeige ist erstatet
Betrueg bitte deine Frau mit mir!
Bitte stoppen Sie es
Bums eine Schwarze und gewinne WM-Karten!
Bums mein Arsch!
BundesKriminalAmt
Das Geld das nicht mir gehoert
Du bist mein Sexgott!
Du machst mich so Geil!
Du Sexgott!
Ermittlungsverfahren wurde eingeleitet
Es ist AUS!
Es ist ein Missverstaendnis geschehen
Es leuft mir schon das bein Runter Honey!
Falscher Adressant
Falschueberweisung
Fasches Bankkonto
Fick mein Po!
Ficke meine Brust!
Geld
Geld von Postbank
Geldueberweisungen
Gewonnen? GeWONNEN!
Guten Tag
Guten Tag! Hier sind ihre WM Tickets!
Hallo!
Hier sind ihre WM Tickets!
Hoer auf damit!
Holen sie jetzt ihre WM Tickets ab!
Holen sie sich WM Tickets fuer das Finalle JETZT!
Ich bin dauergeill warum?
Ich hab die neuen Fotos Fertig!
Ich hab ihr Geld.
Ich habe Geld von ihren Postbank Konto bekommen
Ich lauf aus bitte leck mich!
Ich liebe dich!
Ich zeige dich an!
Ich Zeige sie an!
Ihr Geld
Ihr Geld, Postbank
Ihre Akte!
Ihre Auszahlungen an mich
Ihre IP wurde geloggt!
JehhuuuU! WWWMMMM!!
Komme mit!
Lass dich Umsonst Wixen! Nur ab 18 Jahren!
Missueberweisungen
Nimm mich durch mein Schadz!
Postbank
Postbank Ueberweisungen
Sie besitzen Raubkopien
Sie betrueger!
Sie haben WM Tickets gewonnen!
Sie kommen ins Knast!
Treibs mit einer schlampe!
Uberweisungen
Ueberweisung an einen falschen
Ueberweisung an einen falschen Adressanten
Umsonst mein Arschficken ab 18 Jahren!
Warum machst du das?
Warum schicken sie mir Geld?
Weltmeisterschaft!
WM Tickets!
Texto del mensaje: [uno de los siguientes textos]
Ejemplo 1:
Sehr geehrte Damen und Herren,
vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto
bekommen und ich wuerde sie gern Fragen wie es dazu kam.
Iich danke Ihnen, aber es musste warscheinlich ein Fehler
unterlaufen denn ich kenne Sie nicht und Sie kennen mich
nicht.
Wie koennen wir diesen Missverstaendnis loesen? Am besten
rufen Sie mich bitte an wenn es moeglich ist. Meine
Telefonnummer lautet 035/98276590
Ich habe ein Abbild von dem Ueberweisungslog gemacht,
dabei habe ich aus versehentlichen Gruenden ein Password
darauf gelegt, er lautet [contraseña]
Mit Freundlichen Gruessen
Manfred Schmidt
Ejemplo 2:
Sehr geehrte Damen und Herren,
seit Gestern bekomme ich andauernt Geld von Ihnen, ich
danke sehr, aber ich glaube es ist ein Fehler unterlaufen.
Ich habe ein Konto bei der Postbank und es lautet
48756830000443 Bankleitzahl: 94775775
Bitte ueberpruefen Sie ihre Auszahlungen und rufen sie
mich unter folgender
Nummer an 056/48576887 damit wir besprechen koennen wie
ich Ihr Geld zurueckzahlen koennte.
In dem Anhang habe ich eine Kopie der Ueberweisung
gemacht, Kennwort fuer das Archiv lautet [contraseña]
Mit freundlichen Gruessen
Mattias Botcher
Ejemplo 3:
Sehr geehrte Damen und Herren,
warum schicken Sie mir ihr Geld? Ich bedanke mich bei
ihnen, aber es gehoert nicht mir und ich brauche es auch
nicht, also koennen Sie es bitte lassen?
Meine Kontonummer bei der Postbank 83475687345
Bankleitzahl: 4655437
In dem Attach haben sie ein Log von den Ueberweisungen die
sie gemacht haben.
Password dafuer lautet [contraseña]
Mit freundlichen Gruessen
Gerhard Meyer
Ejemplo 4:
Sehr geehrte Damen und Herren,
ich bevorzuge ihre friedliche Ansichten, aber wir sind
keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie
die Geldueberweisungen zu beenden. Wir wuerden gerne alles
zurueck zahlen was sie an uns bereits abschickten.
In dem Dateianhang lieg der Log von der Postbank, das
Kennwort fur den Archiv lautet [contraseña]
Mit freundlichen Gruessen
Ingrid Behnke
Ejemplo 5:
Sehr geehrte Damen und Herren,
ich will Sie darauf aufmerksam machen, das Sie
ununterbrochen Geld an uns abschicken. Es ist wirklich
erfreulich, aber das Geld gehoert uns nicht und wir
wuerden gerne alles zurueck zahlen.
Ein Kopie von der Ueberweisung liegt in dem Anhang, das
Kennwort dafuer lautet [contraseña]
Mit freundlichen Gruessen
Anne Flachman
Ejemplo 6:
Hi,
thx das du Geld an mich schicks, aber kannste damit auf
hoeren?
Hier eine Kopie des Kontoauszugs von der Postbank in dem
Anhang. Password: [contraseña]
mfg Henry
Ejemplo 7:
Hallo,
sie schicken viel Geld an mir, das mir, nicht mein ist.
Ich haben eine Posdbank Account. Ich schicken alles an du
zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.
Hier eine Anhang mit der Ueberweisung. Password dafuer
lautete [contraseña]
Have a nice day
John Walthers
Ejemplo 8:
Sehr geehrte Damen und Herren,
wir laden Sie rechtherzlich zu unseren Â"Gewinne WM
TicketsÂ" Aktion. Alles was dafuer zu machen brauchen ist
dieses Formular auszufuellen. Das eine Euro das Sie uns
schicken wird viele Kinder der dritten Welt erfreuen.
Das Kennwort fuer den Formular lautet [contraseña]
Herzlichen Dank
Bathe Maune
Ejemplo 9:
Sehr geehrte Damen und Herren,
Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles
was jetzt noch zu machen ist, das Formular in dem Anhang
auszufuellen und Sie sind dabei! Verpassen Sie ihre
einmalige Chance nicht!
Anhangspassword: [contraseña]
Mit freundlichen Gruessen
Lotto-GDI GmbH
Ejemplo 10:
Hi, du hast mich mal bei irgendeinem Online-Dating, ich
hab gesagt du bist haesslich und geblockt, Sorry,.. Du
bist nicht haesslich, ich war einfach mies drauf. Ich will
es wiedergut machen, lade dich damit zu WM, Tickets habe
ich ins Attach gelegt, entpacke es und druecks aus.
Password fuer den Archiv lautet [contraseña]
mfg Nadine
Ejemplo 11:
Hi man,
ich hab gesehen, das du zu WM wolltest, frag nicht wer ich
bin und warum ich es mache. Hier hast du 5 Stueck, das ist
eine spezielle Online Version, drueck es aus und
unterschreib.
Password zu dem Archiv lautet [contraseña]
Mfg Niemand ;)
Ejemplo 12:
Sehr geehrte Damen und Herren,
Sie haben ein Multi-WM-Ticket gewonnen! Mit diesem
Ultimativen Ticket koennen sie so viele wie sie wollen zu
dem WM Spiel einladen! Alles was sie zu machen brauchen
ist diesen einen Anhang entpacken und ihre Unterschriften
darauf schreiben. Das Kennwort fuer den Anhang lautet
[contraseña]
Mit freundlichen Gruessen
WM
- Free Tickets Organisation (kurz gesch. WMFTO)
Ejemplo 13:
Sehr geehrte Damen und Herren,
ich habe vor kurzem 7 WM Tickets fuer meine ganze Familie
gekauft, aber wie es sich rausstellte koennen wir wegen
politischen Hintergrunden nicht an WM teilnehmen. Deswegen
bekommen sie es jetzt. Brauchen sie jetzt nicht zu danken,
denn wenn sie jetzt diesen Brief lesen, sind wir schon in
einem anderen Land.
Die Tickets koennen Sie an der Siemens Rezeption abholen,
hierzu benoetigte Adresse Habichstra?e 356, Koeln. Wir
wuenschen ihnen von der ganzen Familie gutes Spiel.
In dem Anhang haben sie ein Foto von den Tickets, Password
fuer den Archiv lautet [contraseña]
Mit freundlichen Gruessen
Salim Heraldulkalam
Ejemplo 14:
Sehr geehrte Damen und Herren,
danke das Sie bei unserer Lotterie mitgemacht haben, und
wir wollen sie damit benachrichtigen, dass Sie GEWONNEN
HABT!
Alles was jetzt noch zu machen ist, schnell die Tickets
ausfuellen und zu WM gehen!
Dateianhangspassword: [contraseña]
Mit freundlichen Gruessen
Lotterie-NOD GmbH
Ejemplo 15:
Hi Schadz ich schreib aus den Inet cafe in Muenchen
meine neuen Fotos sind fertig und ich vermisse dich!
Die fotos sind gut geweorden ich hab das alles nur dier
zuliebe getann und das weisst du!
Die Fotos hab ich der Email beigefuegt ich hoffe du bist
zufrieden
ah ja und damit sie keiner ausser die oefnet hab ich ein
password
drauf gemacht das password ist mein name also:
[contraseña]
Mit liebe Monica
Ejemplo 16:
Hi sexgott ich bin so geil das ich nicht mehr kann
hier ein paar fotos wie ich grade abgehe!
das password fuer die fotos ist: [contraseña]
Gruesse Monica
Ejemplo 17:
Warum bin ich so dauergeil immer muss ich mir was in die
MuMu reinschieben
ist das vieleicht ungesund wenn ich dir banane rein tue
sie fuelt sich so gut an
was meinst du?
Guck dir meine Fotos an und sag bescheid!
das Password fuer die fotos ist: [contraseña]
geilen gruss
Tina
Ejemplo 18:
Oh BABY!!!
Ich bin so geil bitte fick mich
meine muschi leuft aus ich will dich o bitte
bitttte.........
hofffendlich bist du auch Geil wenn du meine Pics siehst
:P
habe dir paar neue mitgeschickt
das password ist: [contraseña]
bye bye
Ejemplo 19:
Ja ich bin deine HERRIN
aber du darfst trozdem mein Hintern ficken
ich weiss nicht warum aber das fuelt sich ueber geil an
mach das baby oder hast du keine lust?
Guck dir meine fotos an du wirst schon lust bekommen
das password fuer die pics ist: [contraseña]
cya dein bussi
Ejemplo 20:
Hi honey
wie findest du eigendlich das das deine Schwester so
Rumhurt?
ich mag sie voll gerne aber sie hat Robert den Afganer auf
party ein geblasen
und Tina hat das mit der kamera aufgenommen
es ist deine sache ob du das deinen Eltern zeigst aber das
video schick ich dir
das password dafuer ist : [contraseña]
Alles liebe
Ejemplo 21:
Warum betruegst du Albert?
Ich hab mir dir geschlafen und habe alles getann was du
wolltest und du du ficks meine schwester wo ich Zwei tage
zu Mama wegfahre?
Du bist der groesste Arschloch und es ist vorbei!
das video hat mir Tina geschickt wo du mit ihr gepoppt
hast und wie ihr das aufgenommen habt
das ist das Beweis und du wirst es noch sehen!
Das video schick ich mit der Email
das password was ich darauf gemacht habe ist: [contraseña]
Fick dich
Helena
Ejemplo 22:
Hallo Albert
Ich habe ein paar fotos fuer dich gemacht und wollte sie
dir schicken damit du mich nicht so vermisst ich bin in 2
wochen wieder da dann werde ich alle deine wuensche
erfuellen versprochen! Die fotos sind mit der emial
das password hab ich raufgemacht es lautet: [contraseña]
Ejemplo 23:
Willst du WM tickets gewinnen?
Dann sende uns eine ausgefueltte kopie des Geweinnzettel
und wir schicken dir 2 Tickets fuer das Finalle!
Der geweinnzettel ist beigefuegt!
Ihr persoenliches password lautet: [contraseña]
Ihr WM Team
Ejemplo 24:
Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist
illegal und somit strafbar. Wir moechten Ihnen hiermit
vorab mitteilen, dass Ihr Rechner unter der IP erfasst
wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen
Sie eingleitet.
Die Strafanzeige und die Moeglichkeit zur Stellungnahme
wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:# (siehe Anhang)
ACHTUNG: der Anhang ist Password geschuetzt
der Password fuer den Anhang (ihre Akte)
lautet: [contraseña]
bitte vergessen sie ihn nicht
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0
Ejemplo 25:
Guten Tag sehr geehrte Damen und Herren!
Meine Web-Site zeichnete Angriffe von ihrer IP Auf
Ich habe mich bei T-Com beschwert und ihre Email bekommen
bitte unterlassen sie alle angriffe auf meine Web-Site
die Anzeige ist erstatet! Die anklage schrift hab ich der
Email beigefuegt.
Password fuer die Anklageschrift lautet: [contraseña]
mfg
Karl Stein
Ejemplo 26:
Tina es ist schluss!
Unterlasse es mir die fotos zu schicken wir sind nicht
mehr zusammen und ich will dich nicht mehr nackt sehen!
Ich habe dich Angezeigt weil das einfach zu weit geht tut
mir leid!
Deine Fotos und die Kopie der Anzeige hab ich in der Email
beigefuegt!
damit deine Intimen fotos keiner sieht hab ich einen
password rauf gemacht
das password ist dein Name: [contraseña]
schreib nicht zurueck
Alexei
Ejemplo 27:
Sehr geehrte Frau Tisha
das Zuspammen von meiner Email mir ihren nacktfotos bleibt
nicht unbemerkt.
Heute Morgen erstattete ich eine Anzeige bei der BKA
Wiesbaden!
Meinen Anwahlt wurde die sache uebergeben!
Ich moechte mit ihnen nicht zu tunn haben und ihre
Nacktfotos
schick ich ihnen mit der Anklageschrift zurueck!
Die fotos und das schreiben hab ich der Email beigefuegt,
dass password lautet: [contraseña]
Bitte keine Fotos und Emails mehr
mfg
Kresen
Ejemplo 28:
Warum drohen sie mir hab ich ihnen was getann?
Ich wusste schon lange das Schwarze nicht erweunscht sind!
Ich habe sie bei der Polizei angezeigt sie werden sich um
sie kuemern
ich habe der email einen Anhang beigefuergt da drinne ist
eine Kopie der Anzeige
das password fuer die Anzeige lautet: [contraseña]
mfg
Ublaskar
Ejemplo 29:
Wir werden sehen ich sperre mich ein!
Sie drohen mir das sie mich aufschlitzen wollen?
Ich habe sie gestern Angeziegt und stehe unter Polizei
schutz!
Hier die letzte mahnung hab ich der Email beigefuegt!
das Password lautet: [contraseña]
Werner Blass
Ejemplo 30:
Die nacktfotos die ich von ihnen bekamm leitete ich an das
Kriminal Amt weiter!
Das ist Sexuelle belastigung!
Sie bekommen eine Anzeige und eine geldschtraffe
melden sie sich in den naexten tagen bei der Polzei!
Die vorladung und die Fotos als beweis hab ich der Email
beigefuegt
das password ist : [contraseña]
Emilion Volks
Datos adjuntos: [uno de los siguientes nombres]
Abbild-Der-Rechnung.???
Anhang.???
Anhang-Tickets.???
anklage.???
Anklage-Material.???
anklageschrift.???
Anzeige.???
archiv.???
Auszahlungen.???
bank-kontoauszuge.???
bescheinigung.???
beweise.???
bild01.???
Desktop.???
fick_mich.???
fickmich.???
fotze.???
free_pics.???
free_videos.???
geil.???
ich_lauf_aus.???
ichbingeil.???
ihre_akte.???
IhrEnde.???
Kontoauszug.???
Kopien.???
meinbild.???
meine_moese.???
mypics.???
Neuer Ordner.???
New Folder.???
Postbank.???
Postbank-Ueberweisungen.???
Rechnung.???
Rechnung-Anhang.???
reklament.???
sexy.???
Tickets.???
Ueberweisung.???
vorladung.???
Weltmeisterschaft.???
WM-Anhang.???
WM-Tickets.???
Donde la extensión .??? puede ser .ZIP o .RAR (de acuerdo al
programa compresor que detecte en la máquina que infecta). El
gusano busca los siguientes programas para decidir la
compresión (o utiliza .ZIP por defecto):
7-Zip
WinRAR
WinAce
El gusano evita enviar mensajes a aquellas direcciones que
contengan cualquiera de las siguientes cadenas en su nombre:
.arpa
.gov
.mil
abuse
admin
avp.
berkeley
borland.com
bsd.it
bugs
cisco
contact
debian
drweb.
fido
gnu.org
google
help
iana.
ibm.com
info
kaspersky
linux
microsoft.com
php.net
postmaster
privacy
rating
register
ripe.
root
sales
secure
service
site
soft
sophos
sun.com
support
virus
web
webmaster
xinul.com
El gusano también intenta propagarse explotando la siguiente
vulnerabilidad, ya corregida por Microsoft, buscando equipos
sin los parches respectivos:
MS04-007 ASN.1 de Windows: Ejecución de código (828028)
http://www.vsantivirus.com/vulms04-007.htm
Para no autoejecutarse más de una vez en memoria, utiliza el
siguiente mutex:
Worm.Win32.Zasrancheg
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
\Notify
\mszsrn32
3. Haga clic en la carpeta "mszsrn32" y bórrela.
4. Cierre el editor del registro.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Medbot.H. Compromete la seguridad del sistema
_____________________________________________________________
http://www.vsantivirus.com/medbot-h.htm
Nombre: Medbot.H
Nombre NOD32: Win32/Medbot.H
Tipo: Caballo de Troya
Alias: Medbot.H, Trojan.Popuper, TrojanProxy.Win32.Horst,
W32/Methodbod.gen, Win32/Medbot, Win32/Medbot.H
Fecha: 2/ago/06
Plataforma: Windows 32-bit
Caballo de Troya que permite a un atacante remoto acceder al
sistema infectado para realizar acciones que comprometen la
seguridad del sistema, actuando como un servidor proxy.
Un servidor proxy es un equipo o programa que actúa como
intermediario entre Internet y un grupo de usuarios. Lo que
hace un "TrojanProxy" es recibir peticiones de usuarios (en
este caso del atacante remoto) y redirigirlas a Internet
desde el equipo infectado, en lugar de hacerlo desde su
propio equipo. Esto le permite (por ejemplo), utilizar el
equipo de su víctima para lanzar ataques o enviar spam sin
ser identificado.
También puede enviar información del sistema a un atacante
remoto.
Descarga y ejecuta otros archivos desde determinados sitios
de Internet, incluyendo una actualización de si mismo.
Cuando se ejecuta, puede crear el siguiente archivo:
c:\windows\system32\msmsgs.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000).
También crea las siguientes entradas en el registro, la
primera de ellas para autoejecutarse en cada reinicio de
Windows:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe, msmsgs.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MSN Messenger = "c:\windows\system32\msmsgs.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
uuid = [datos]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explo
rer\Run
notepad.exe = "msmsgs.exe"
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
3. Haga clic en la carpeta "Winlogon" y en el panel de la
derecha, busque la siguiente entrada bajo la columna
"Nombre":
Shell
4. Modifique el valor de "Shell" para que aparezca solo esto:
Shell = Explorer.exe
5. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
6. Haga clic en la carpeta "CurrentVersion" y en el panel de
la derecha, busque y borre la siguiente entrada:
uuid = [datos]
7. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\policies
\explorer
\Run
8. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
9. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
10. Haga clic en la carpeta "Run" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
11. Cierre el editor del registro.
12. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - PSW.Sinowal.NAA. Captura el teclado y roba información
_____________________________________________________________
http://www.vsantivirus.com/psw-sinowal-naa.htm
Nombre: PSW.Sinowal.NAA
Nombre NOD32: Win32/PSW.Sinowal.NAA
Tipo: Caballo de Troya
Alias: Sinowal.NAA, PSW.Generic2.CAO, TR/PSW.Sinowal.AE.3,
Trj/Dropper.UR, Trojan.Anserin,
Trojan.PSW.Win32.Sinowal.82A4, Trojan.PWS.Sinowal.AC,
Trojan.PWS.Sinowal.BM, Trojan.PWS.Snap, Trojan.Sinowal.ae,
Trojan.Spy.Sinowal-39, Trojan/PSW.Sinowal.ae, Trojan-
PSW.Win32.Sinowal.ae, W32/PWStealer.AEF,
W32/Sinowal.AE!tr.pws, W32/Sinowal.HZ, Win32/Anserin!generic,
Win32/Anserin.FBN!Trojan, Win32/PSW.Sinowal.NAA,
Win32:Sinowal-I
Fecha: 2/ago/06
Plataforma: Windows 32-bit
Tamaño: 3,072 bytes (UPX)
Se trata de un "keylogger" (capturador de la salida del
teclado), del tipo PSW (abreviatura de password o
contraseña), capaz de obtener información del usuario y del
equipo infectado. Ello incluye contraseñas, nombres de
usuario, y cualquier información confidencial que la víctima
haya ingresado en cualquier página o documento a través del
teclado. Esta información suele estar relacionada con ciertos
sitios bancarios.
Cuando se ejecuta, el troyano crea los siguientes archivos:
[Carpeta Web Folders]\ibm?????.dll
[Carpeta Web Folders]\ibm?????.exe
[Carpeta Web Folders]\ibm?????.dll
[Carpeta Web Folders]\ibm?????.exe
[Carpeta Web Folders]\tmp.tmp
Donde "?????" son cinco dígitos al azar (por ejemplo: 00001).
[Carpeta Web Folders] puede ser una de las siguientes:
C:\Archivos de programa\Archivos comunes
\Microsoft Shared\Web Folders
C:\Program files\Common files
\Microsoft Shared\Web Folders
También se crean o modifican las siguientes entradas en el
registro para autoejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
shell = [Camino completo]\ibm?????.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = explorer.exe [Camino completo]\ibm?????.exe
Para no ejecutarse más de una vez en memoria, el troyano crea
el siguiente mutex:
MSARCH_MUTEX_NAME
Un mutex (mutual exclusion object), es un objeto utilizado
para controlar el acceso a recursos (cualquier tipo de
programas y aplicaciones, etc.) y evitar que más de un
proceso acceda al mismo tiempo a él.
El troyano no se propaga por si mismo. Puede llegar a nuestro
PC al ser copiado manualmente en el sistema, o al ser
descargado intencionalmente o mediante engaños de algún sitio
malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano
a su víctima en un mensaje electrónico individual o
masivamente por medio de spam a otros usuarios.
Otros malwares también podrían descargarlo y ejecutarlo en un
sistema infectado.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
5. Haga clic en la carpeta "Winlogon" y en el panel de la
derecha, busque la siguiente entrada bajo la columna
"Nombre":
Shell
6. Modifique el valor de "Shell" para que aparezca solo esto:
Shell = Explorer.exe
7. Cierre el editor del registro.
8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
6 - Mocalo.DL. Utiliza e-mail y P2P, deshabilita firewall
_____________________________________________________________
http://www.vsantivirus.com/mocalo-dl.htm
Nombre: Mocalo.DL
Nombre NOD32: Win32/Mocalo.DL
Tipo: Gusano de Internet (P2P) y caballo de Troya
Alias: Mocalo.DL, W32.Feebs, W32/Feebs.D9D1!worm,
W32/Suspicious_U.gen, Win32.HLLM.Graz.based,
Win32.Worm.Feebs.1.Gen, Win32/Mocalo.DL, Worm.Feebs.AE,
Worm.Feebs.DL, Worm.Feebs.hr, Worm.Win32.Feebs.hr,
Worm/Feebs.FB, Worm/Feebs.Gen
Fecha: 3/ago/06
Plataformas: Windows 2000, XP, 2003
Tamaño: 61,872 bytes (UPack)
Gusano que se propaga a través de correo electrónico, y de
redes P2P, utilizando diferentes nombres, los que están
relacionados con conocidas aplicaciones.
También ha sido enviado en forma de spam masivo, en mensajes
con diferentes asuntos, textos y nombres de archivos adjuntos
con extensión .ZIP, conteniendo a su vez un archivo .HTA, que
a su vez posee un código en JavaScript embebido en él, que al
ejecutarse descarga de Internet el componente principal del
gusano. Este componente también puede ser descargado al
visitar ciertos sitios maliciosos.
El código en JavaScript (y el archivo HTA), es detectado por
NOD32 como una variante de JS/TrojanDownloader.Tivso.gen
El gusano puede obtener información de los equipos
infectados, la que es enviada a un servidor FTP remoto.
Cuando el gusano se ejecuta, libera una copia de si mismo con
parte de su nombre seleccionado al azar, en la carpeta del
sistema, además de otro archivo con extensión .DLL:
c:\windows\system32\ms??
c:\windows\system32\ms??.exe
c:\windows\system32\ms??32.dll
Donde "??" son dos caracteres al azar.
Para ocultar su actividad y permitir el acceso remoto de
usuarios maliciosos, el gusano puede deshabilitar el
cortafuegos de Windows XP, modificando el registro:
HKCU\Software\Policies\Microsoft
\WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"
HKCU\Software\Policies\Microsoft
\WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"
HKLM\SOFTWARE\Policies\Microsoft
\WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"
HKLM\SOFTWARE\Policies\Microsoft
\WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"
También crea las siguientes entradas:
HKLM\SOFTWARE\Classes\CLSID
\{????????-????-????-????-????????????}\InprocServer32
(Predeterminado) = "c:\windows\system32\ms??32.dll"
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad
Ms??32.dll = "{????????-????-????-????-????????????}"
HKLM\SOFTWARE\Microsoft\MS??\dat
HKLM\SOFTWARE\Microsoft\MS??\sdat
Donde {????????-????-????-????-????????????} es un
identificador CLSID al azar.
Para propagarse, se copia en las carpetas compartidas de
diversas utilidades P2P, con nombres como los siguientes
(entre otros posibles):
3dsmax_9_(3D_Studio_Max)_new!_full+crack.zip
ACDSee_9_new!_full+crack.zip
Adobe_Photoshop_10_(CS3)_new!_full+crack.zip
Adobe_Premiere_9_(2.0_pro)_new!_full+crack.zip
Ahead_Nero_8_new!_full+crack.zip
DivX_7.0_new!_full+crack.zip
ICQ_2006_new!_full+crack.zip
Internet_Explorer_7_new!_full+crack.zip
Kazaa_4_new!_full+crack.zip
Longhorn_new!_full+crack.zip
Microsoft_Office_2006_new!_full+crack.zip
winamp_5.2_new!_full+crack.zip
El archivo .ZIP contiene una copia del gusano. También puede
contener un archivo de texto, con alguno de los siguientes
nombres (de acuerdo al nombre del .ZIP):
3dsmax_9_(3D_Studio_Max).txt
ACDSee_9.txt
Adobe_Photoshop_10_(CS3).txt
Adobe_Premiere_9_(2.0_pro).txt
Ahead_Nero_8.txt
DivX_7.0.txt
ICQ_2006.txt
Internet_Explorer_7.txt
Kazaa_4.txt
Longhorn.txt
Microsoft_Office_2006.txt
winamp_5.2.txt
El gusano también puede descargar un archivo de Internet, el
cuál es almacenado con alguno de los siguientes nombres:
c:\command.exe
c:\recycled\userinit.exe
NOTA: No confundir con C:\COMMAND.COM
Este componente, intentará eliminar las siguientes entradas
del registro:
HKLM\SYSTEM\CurrentControlSet\Services\FirePM
HKLM\SYSTEM\CurrentControlSet\Services\KmxFile
HKLM\SYSTEM\CurrentControlSet\Services\pcipim
HKLM\SYSTEM\CurrentControlSet\Services\pcIPPsC
HKLM\SYSTEM\CurrentControlSet\Services\RapDrv
Puede crear además, la siguiente entrada en el registro, para
autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft
\Active Setup\Installed Components
\{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}
Stubpath = "[nombre del ejecutable]"
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Policies
\Microsoft
\WindowsFirewall
\DomainProfile
3. Haga clic en la carpeta "DomainProfile" y en el panel de
la derecha, busque y borre la siguiente entrada:
EnableFirewall = "dword:00000000"
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Policies
\Microsoft
\WindowsFirewall
\StandardProfile
5. Haga clic en la carpeta "StandardProfile" y en el panel de
la derecha, busque y borre la siguiente entrada:
EnableFirewall = "dword:00000000"
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Policies
\Microsoft
\WindowsFirewall
\DomainProfile
7. Haga clic en la carpeta "DomainProfile" y en el panel de
la derecha, busque y borre la siguiente entrada:
EnableFirewall = "dword:00000000"
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Policies
\Microsoft
\WindowsFirewall
\StandardProfile
9. Haga clic en la carpeta "StandardProfile" y en el panel de
la derecha, busque y borre la siguiente entrada:
EnableFirewall = "dword:00000000"
10. En el editor del registro haga clic en "Mi PC" de la
ventana de la izquierda.
11. Seleccione el menú desplegable "Edición", "Buscar", y
escriba en la ventana "Buscar" que será desplegada el nombre
del archivo .DLL detectados en el punto 3 del ítem
"Antivirus").
12. Haga clic en el botón "Buscar siguiente". La búsqueda del
punto 11 puede haberle dado el siguiente resultado:
(Predeterminado) = "c:\windows\system32\ms??32.dll"
13. En este caso, tome nota de la clave CLSID relacionada (la
carpeta anterior a dicha entrada), por ejemplo:
HKEY_LOCAL_MACHINE
\SOFTWARE
\CLASSES
\CLSID
\{????????-????-????-????-????????????}
\InprocServer32
(Predeterminado) = "c:\windows\system32\ms??32.dll"
14. Tome nota de la carpeta {????????-????-????-????-
????????????}, donde los ???? representan caracteres
hexadecimales, y luego bórrela.
15. En el editor del registro haga clic en "Mi PC" de la
ventana de la izquierda.
16. Seleccione el menú desplegable "Edición", "Buscar", y
escriba en la ventana "Buscar" que será desplegada la clave
CLSID obtenida en el punto 13:
{????????-????-????-????-????????????}
17. Haga clic en el botón "Buscar siguiente" y borre todas
las apariciones de dicha clave (borre todas las carpetas y
otras entradas que se llamen {????????-????-????-????-
????????????}, donde las XXXX representan caracteres
hexadecimales.
Por ejemplo:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\ShellServiceObjectDelayLoad
Borre la siguiente entrada:
Ms??32.dll = "{????????-????-????-????-????????????}"
18. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\MS??
Donde "MS??" es igual al nombre de los archivos detectados en
el punto 3 del ítem "Antivirus".
19. Borre la carpeta "MS??".
20. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Active Setup
\Installed Components
\{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}
21. Borre la carpeta "{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}"
22. Cierre el editor del registro.
23. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 2209 Año 10, sábado 5 de agosto de 2006
|
VSantivirus No. 22
Responder a este mensaje
