|
Mostrando mensaje 1255
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 2203 Año 10, sábado 29 de julio de 2 006 | | Fecha: | Sabado, 29 de Julio, 2006 00:48:58 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 2203 Año 10, sábado 29 de julio de 2006
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Agencias japonesas vulnerables a ataques de virus
2 - Levona.NAA. Deshabilita aplicaciones de seguridad
3 - Spy.BZub.BJ. Roba información, borra archivos
4 - PSW.Sinowal.AH. Captura el teclado y roba información
5 - TrojanDownloader.Small.NNJ. Descarga otro troyano
_____________________________________________________________
1 - Agencias japonesas vulnerables a ataques de virus
_____________________________________________________________
http://www.vsantivirus.com/29-07-06.htm
Agencias japonesas vulnerables a ataques de virus
Por Nela Adans
nela@videosoft.net.uy
Según lo reportado por la agencia de noticias AFP, una
encuesta gubernamental revela que un gran número de
computadoras de las oficinas de los ministerios y de las
agencias policiales japonesas son peligrosamente vulnerables
a los ataques y a las infecciones virales.
Según el informe, este último año las agencias de defensa y
la policía japonesa estuvieron bajo ataques de piratas
informáticos, supuestamente de origen chino.
El estudio realizado respecto de la seguridad informática en
dicho país, arroja los siguientes resultados:
- Ninguna de las agencias gubernamentales alcanzó a obtener
el grado "A" (la clasificación más segura).
- Las agencias de Servicio Financiero, las oficinas del
Gabinete, y el Ministerio de Medio Ambiente fueron las
mejores calificadas, recibiendo una "B", con más del 80% de
sus ordenadores protegidos, fundamentó el estudio.
- El Ministerio Exterior, la Agencia Nacional de Policía y la
Agencia de la Casa Imperial, entre otras agencias
importantes, fueron calificadas con el grado "D". Menos del
60% de sus computadoras estarían adecuadamente protegidas.
El Jefe de Gabinete, Ministro Shinzo Abe, después de recibir
este informe, pidió a todos los ministros que actúen
rápidamente, tomando las medidas necesarias.
* Relacionados:
http://www.telecomasia.net/telecomasia/article/articleDetail.jsp?id=360774
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Levona.NAA. Deshabilita aplicaciones de seguridad
_____________________________________________________________
http://www.vsantivirus.com/levona-naa.htm
Nombre: Levona.NAA
Nombre NOD32: Win32/Levona.NAA
Tipo: Gusano de Internet
Alias: Levona.NAA, Agent.HT, BACKDOOR.Trojan, TR/Renova.A,
Trojan.Agent.qj, Trojan.Renova.A, Trojan.Win32.Agent,
W32.SillyWNSE, W32/Agent.A!tr, W32/Agent.AGIG,
Win32/Levona.NAA, Win32/Revon.1ps!Worm
Fecha: 28/jul/06
Plataforma: Windows 32-bit
Tamaño: 34,816 bytes (UPX)
Gusano que deshabilita ciertas aplicaciones de seguridad, y
se propaga como adjunto en respuestas a mensajes localizados
en la bandeja de entrada del programa de correo del usuario
infectado.
Al ejecutarse puede crear los siguientes archivos:
c:\program files\common files\renova.exe
c:\windows\mstry.exe
c:\windows\regedit.exe
c:\windows\system\msconfig.exe
c:\windows\system32\alisa.exe
c:\windows\system32\emma.exe
c:\windows\system32\msconfig.exe
c:\windows\system32\nova.exe
c:\windows\system32\regedit.exe
c:\winnt\regedit.exe
c:\winnt\system32\msconfig.exe
c:\winnt\system32\regedit.exe
d:\program files\common files\renova.exe
d:\windows\regedit.exe
d:\windows\system32\regedit.exe
d:\winnt\regedit.exe
d:\winnt\system32\regedit.exe
e:\program files\common files\renova.exe
e:\windows\regedit.exe
e:\windows\system32\regedit.exe
e:\winnt\regedit.exe
e:\winnt\system32\regedit.exe
f:\program files\common files\renova.exe
f:\windows\regedit.exe
f:\windows\system32\regedit.exe
f:\winnt\regedit.exe
f:\winnt\system32\regedit.exe
g:\program files\common files\renova.exe
g:\windows\regedit.exe
g:\windows\system32\regedit.exe
g:\winnt\regedit.exe
g:\winnt\system32\regedit.exe
Crea o modifica las siguientes entradas en el registro, para
autoejecutarse en cada reinicio, y para deshabilitar
herramientas de Windows, como el propio editor del registro,
etc.:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Renova = "Nova.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Shell = "Renova.exe"
HKCU\Software\Policies\Microsoft\Windows\System
DisableCMD = "0"
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = "1"
DisableSR = "1"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
ProductId = "RENOVA"
ProductName = "RENOVA"
RegisteredOrganization = "XENOVA"
RegisteredOwner = "RENOVA"
HKCU\Software\Microsoft\Windows\CurrentVersion
ProductId = "RENOVA"
ProductName = "RENOVA"
RegisteredOrganization = "XENOVA"
RegisteredOwner = "RENOVA"
HKCU\Control Panel\Desktop
AutoEndTasks = "1"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
AlternateShell = "[camino]\Renova.exe"
HKLM\SYSTEM\ControlSet[número]\Control\SafeBoot
AlternateShell = "[camino]\Renova.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe [camino]\Renova.exe"
Userinit = "Explorer.exe [camino]\Renova.exe"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
DisabletaskMgr = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Group Policy Objects\LocalUser\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\HideFileExt
Type =
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\NOHIDDEN
CheckedValue = "2"
DefaultValue = "2"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = "1"
DefaultValue = "2"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\HideFileExt
CheckedValue = "1"
DefaultValue = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
Hidden = "2"
HideFileExt = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoControlPanel = "0"
NoDriveTypeAutoRun = "91"
NoFind = "1"
NoFolderOptions = "0"
NoRun = "0"
NoSaveSettings = "0"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoControlPanel = "0"
NoFind = "1"
NoFolderOptions = "0"
NoRun = "0"
El gusano puede enviarse vía correo electrónico, reenviandose
como respuesta a mensajes obtenidos en la bandeja de entrada
de programas de correo. Los mensajes tienen las siguientes
características:
De: [usuario infectado]
Para: [usuario al que se responde]
Asunto: Re: [+ asunto del mensaje que corresponde]
Texto del mensaje:
Sorry, Saya lupa nih :)
Datos adjuntos: Nova.scr
El adjunto es una copia del propio gusano.
También intenta propagarse por redes P2P, copiándose en
carpetas compartidas por programas como KaZaa.
Intenta finalizar procesos que contengan las siguientes
cadenas en sus nombres:
10 2 5
10 TO 5
AB THREE
ACT.EXE
ADA BAND
ADABAND
ADVANCED REGISTRY TRACER
AGNES
AGUILERA
ALEXANDRIA.EXE
ALICIA KEYS
ALTER
ALLMYLIFETOLIVE.EXE
AMERICAN IDOL
ANANG
ANDRE HEHANU
ANTHEM
ANTIVIRUS STARTUP.EXE
ARI LASO
ARI LASSO
ARISTOTELES
ARTIKA_SARI.EXE
ARTIKA_SARI.SCR
ARTIKA_SARI_DEVI.SCR
ARY LASO
ARY LASSO
AURIL
AVAST
AVRIL
BAGASKARA
BASE JAM
BASEJAM
BEDING
BENINGTON
BENNINGTON
BLUEFANTASY.EXE
BOOMERANG
BOY ZONE
BR5271ON.EXE
BRITNEY
BUNGA
BUNGLON
CAFEIN
CAFFEIN
CANDIL
CASTLECOPS
CAV.EXE
CCAPPS.EXE
CEWENAKAL.SCR
CILIN
CILLIN
CKERNEL.PIF
CLEANER
COKELAT
COMMAND.COM
COMMAND.COM.BAT
COMPACTBYTEAV
CONFIRM.EXE
COULDNOTBREAK.EXE
CRANBER
CTFMON.EXE
CUEX44.EXE
CHEER
CHRISYE
DAHLIA
DANCE
DANGDUT
DEDI DOR
DEFAULT.PIF
DELON
DEMOCRA
DEMOKRA
DETAILS.EXE
DKERNEL.EXE
DKERNEL.PIF
DLHOST.EXE
DOCUMENTS.EXE
DRIVER PATCH.EXE
EARTHLINK PROTECTION
EKERNEL.PIF
EKSPLORASI.EXE
ELEMENT
ELNORB.EXE
EMANSIP
EMIKO SHIRATORI
EMINEM
ENDANK
EVERCOMES.SCR
FAYE WONG
FF.EXE
FILOSOF
FILSAFAT
FKERNEL.PIF
FLANELA
FOOBAR2000.EXE
FOTO.SCR
FRENTE
F-SECURE
GENDER
GHAZALI
GIBRAN
GITAR
GLENN
GREEN DAY
GREENDAY
GRISOFT
GROBAN
GROOVE COVARAGE
GUITAR
GUN AND ROSE
GUN N ROSE
GUN N'ROSES
GUNBLADE.EXE
HACKER
HADAD
HADDAD
HARUN NAS
HASAN ALBANA
HIJACK
HOOBASTANK
IEXPLORER.EXE
IKHWANUL MUSLIMIN
IMAMAH
INDONESIAN IDOL
INSTRUCTIONS.EXE
IRAMA
IWAN FAL
IZUTSU
JAMRUD
JAVA JIVE
JIKUSTIK
JOSHUA
KANGEN.EXE
KANGEN.HTM
KAPTEN BAND
KASPERSKY
KATON
KEANE
KESENJANGANSOSIAL.EXE
KILLBOX
KINDI
KISAH CINTA.EXE
KOES P
KOTAK BAND
KRISDAYANTI
LALUNA
LEXPLORER.EXE
LIBERAL
LINKIN PARK
LINKINPARK
LIVEFOREVER
LIVEFOREVER.EXE
LODCTR32.EXE
LOVE STORIES.EXE
LOVE STORY.EXE
LOVEOFYOURLIFE
MACHINE
MADONA
MADONNA
MANTIK
MARAWIS
MARCEL
MAROON
MARTIN
MARTYN
MATURID
MCAFEE
MELODI
MELODY
MELLY
MESSAGE.EXE
METALLICA
MICROSOFT OFFICE.PIF
MICHAEL
MICHEAL
MICHEL
MINORU
MMSVC32.EXE
MNTRNG.EXE
MOVIEX.EXE
MOVZX
MR_COOLFACE.COM
MS04028.EXE
MSCONFIG.EXE
MSFRWLL.EXE
MSPATCH.EXE
MSTRAY.EXE
MUSIC
MUSIK
MUTAZILAH
MU'TAZILAH
NASYID
NAZARE
NETSECR.EXE
NEVERSTOP.EXE
NEWNAME.BAT
NIA DANIAT
NIKE ARD
NOBUO
NORMAN
NORTON
NOUBUO
NUBUO
NUGIE
NUOBUO
NURHALIZA
NYANYI
OPICK
PACARGUE.SCR
PANDA
PARIS_HILTON.SCR
PARTAI
PAS BAND
PCMAV
PEARL
PETER
PHILOSOP
PIECESOFTHEPEACE.EXE
PLATO
PLURALISME
PROCCES.EXE
PROCESS EXPLORER - SYSINTERNALS
PROCEXP
PRODIGY
PSAPI.DLL
RABIAH
RABI'AH
RADIO HEAD
RADIOHEAD
RADJA
RAIHAN
RAKYATKELAPARAN.EXE
RAYHAN
README123.EXE
REALPLAYER
REGEDIT.EXE
REGISTRYFIX
REGSVCCHK.EXE
REMOVER
RIYANI_JANGKARU.EXE
ROMANTIC-DEVIL.R.EXE
RUNDLL.EXE
RUNDLL32.EXE
SAMIR
SAMMY
SAMSON
SARAHAZHARI.SCR
SAYBIA
SCORPION
SECUNIA
SENANDUNG
SERIEUS
SERIUES
SERVICES.COM
SEURIUS
SHARE32.EXE
SHEILA
Shell_TrayWnd
SHERINA
SISTINURHALIZA.EXE
SITI.EXE
SLANK
SMAN1_PKP.COM
SMAN1_PKP.PIF
SMANSA_PKP.COM
SMANSA_PKP.PIF
SNADA
SOPHOS
SPARK
SPICE
STEFAN
STILLALIVE.EXE
STING
STINGKY
SURAT_BUAT_PRESIDEN.EXE
SVCH0ST.EXE
SVCHOST.PIF
SYIAH
SYI'AH
SYMANTEC
SYSLOVE.EXE
SYS-ROMANTIC-DEVIL.R.VBS
SYSTEM.EXE
SYSTRAY.EXE
TAHRIR
TASAWUF
TASKMAN.EXE
TATA YOUNG
TEAM LO
TEN 2 FIVE
TEN TO FIVE
TEN2FIVE
TENTOFIVE
TEOLOGI
THE RAIN
TIC BAND
TIPE X
TIPE-X
TITIEK PUSPA
TITIK PUSPA
TREND
TSKMGR.EXE
TWINK_12.EXE
TWINK_16.EXE
TWINK_32.EXE
TWUNK_12.EXE
TWUNK_16.EXE
UEMATSU
UNINSTALLFIREFOX.EXE
UNTUKMU.EXE
UPDATE.EXE
UTOPIA
VAKSIN
VIRUS
VIRUS.EXE
WASHER
WAYANG
WELCOME.COM
WELCOMETOSYSTEM.EXE
WI.EXE
WIN32.COM
WINAMP
WINAMPA.EXE
WINDOWS.EXE
WINFILE.EXE
WINL0G0N.EXE
WINLOGON.COM
WINNT.EXE
WINZIP.EXE
XPSHARE.EXE
YUNAN
ZANARKAND.EXE
ZANDA
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Descargue el archivo indicado en el siguiente enlace:
http://www.vsantivirus.com/levona-naa.htm#lim
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Haga doble clic sobre el archivo descargado antes
(RESTAURAR3.REG), y acepte los cambios.
4. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
5. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
6. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Control Panel
\Desktop
3. Haga clic en la carpeta "Desktop", y en el panel de la
derecha, bajo la columna "Nombre", busque y cambie por el
siguiente valor esta entrada:
AutoEndTasks = "0"
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
5. Haga clic en la carpeta "CurrentVersion", y en el panel de
la derecha, bajo la columna "Nombre", busque y borre las
siguientes entradas:
ProductId = "RENOVA"
ProductName = "RENOVA"
RegisteredOrganization = "XENOVA"
RegisteredOwner = "RENOVA"
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
7. Haga clic en la carpeta "Advanced", y en el panel de la
derecha, bajo la columna "Nombre", busque y cambie por los
siguientes valores estas entradas:
Hidden = "1"
HideFileExt = "0"
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\Explorer
9. Haga clic en la carpeta "Explorer", y en la ventana de la
derecha, busque y borre las siguientes entradas:
NoDriveTypeAutoRun = "91"
NoSaveSettings = "0"
NoFolderOptions = "0"
NoFind = "1"
NoRun = "0"
NoControlPanel = "0"
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
11. Haga clic en la carpeta "Run" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
12. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Policies
\Microsoft
\Windows
\System
13. Haga clic en la carpeta "System", y en la ventana de la
derecha, busque y borre la siguiente entrada:
DisableCMD = "0"
14. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
15. Haga clic en la carpeta "CurrentVersion", y en el panel
de la derecha, bajo la columna "Nombre", busque y borre las
siguientes entradas:
ProductId = "RENOVA"
ProductName = "RENOVA"
RegisteredOrganization = "XENOVA"
RegisteredOwner = "RENOVA"
16. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
17. Haga clic en la carpeta "Winlogon", y en el panel de la
derecha, bajo la columna "Nombre", busque y cambie por los
siguientes valores estas entradas:
Shell = "Explorer.exe"
Userinit = "C:\WINDOWS\system32\userinit.exe,"
18. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
\Folder
\HideFileExt
19. Haga clic en la carpeta "HideFileExt", y en el panel de
la derecha, bajo la columna "Nombre", busque y cambie por el
siguiente valor esta entrada:
Type = "checkbox"
20. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
\Folder
\Hidden
\NOHIDDEN
21. Haga clic en la carpeta "NOHIDDEN", y en el panel de la
derecha, bajo la columna "Nombre", busque y cambie por los
siguientes valores estas entradas:
CheckedValue = "2"
DefaultValue = "2"
22. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
\Folder
\Hidden
\SHOWALL
23. Haga clic en la carpeta "SHOWALL", y en el panel de la
derecha, bajo la columna "Nombre", busque y cambie por los
siguientes valores estas entradas:
CheckedValue = "1"
DefaultValue = "2"
24. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
\Folder
\HideFileExt
25. Haga clic en la carpeta "HideFileExt", y en el panel de
la derecha, bajo la columna "Nombre", busque y cambie por los
siguientes valores estas entradas:
CheckedValue = "1"
DefaultValue = "1"
26. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Policies
\Explorer
27. Haga clic en la carpeta "Explorer", y en el panel de la
derecha, busque y borre las siguientes entradas:
NoControlPanel = "0"
NoFind = "1"
NoFolderOptions = "0"
NoRun = "0"
28. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
29. Haga clic en la carpeta "Run" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
30. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Policies
\Microsoft
\Windows NT
\SystemRestore
31. Haga clic en la carpeta "SystemRestore", y en el panel de
la derecha, busque y borre las siguientes entradas:
DisableConfig = "1"
DisableSR = "1"
32. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\ControlSet[número]
\Control
\SafeBoot
33. Haga clic en la carpeta "SafeBoot", y en el panel de la
derecha, bajo la columna "Nombre", busque y cambie por el
siguiente valor esta entrada:
AlternateShell = "cmd.exe"
34. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\SafeBoot
35. Haga clic en la carpeta "SafeBoot", y en el panel de la
derecha, bajo la columna "Nombre", busque y cambie por el
siguiente valor esta entrada:
AlternateShell = "cmd.exe"
36. Cierre el editor del registro.
37. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Spy.BZub.BJ. Roba información, borra archivos
_____________________________________________________________
http://www.vsantivirus.com/spy-bzub-bj.htm
Nombre: Spy.BZub.BJ
Nombre NOD32: Win32/Spy.BZub.BJ
Tipo: Caballo de Troya
Alias: Spy.BZub.BJ, Agent.BA!tr.spy, Logger.BZub.bj,
Malware.Agent.4, PSW.Generic2.DOF, Spy-Agent.ba,
TR/Spy.BZub.BJ, Trojan.PWS.Tanspy, Trojan.Spy.Win32.BZub,
Trojan-Spy.Win32.BZub.bj, Win32/Spy.BZub.BJ
Fecha: 28/jul/06
Plataforma: Windows 32-bit
Tamaño: 56,024 bytes (UPX)
Troyano que intenta robar información almacenada en la
computadora del usuario infectado.
El troyano posee una potencial carga destructiva, que bajo
ciertas circunstancias puede activarse. Cuando ello ocurre el
troyano puede borrar archivos críticos del sistema.
Puede ser descargado por otros troyanos.
Cuando se ejecuta, crea el siguiente archivo:
c:\windows\system32\ipv?mons.dll
Donde "?" es un dígito cualquiera.
También puede crear el siguiente archivo:
c:\1.bat
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Crea las siguientes entradas en el registro de Windows, para
inyectar IPV?MONS.DLL en el proceso del Internet Explorer
como un objeto BHO (Browser Helper Object):
HKCR\CLSID\{73364D99-1240-4DFF-B11A-67E448373048}
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{73364D99-1240-4DFF-B11A-67E448373048}
También modifica la seguridad del sistema, creando la
siguiente entrada que afecta la seguridad del Internet
Explorer y el cortafuego de Windows:
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy
\StandardProfile\AuthorizedApplications\List
[camino]\IEXPLORE.EXE=
[camino]\IEXPLORE.EXE:*:Enabled:Internet Explorer
Donde [camino] suele ser el siguiente (en un sistema en
español):
C:\Archivos de programa\Internet Explorer
El troyano no se propaga por si mismo. Puede llegar a nuestro
PC al ser copiado manualmente en el sistema, o al ser
descargado intencionalmente o mediante engaños de algún sitio
malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano
a su víctima en un mensaje electrónico individual o
masivamente por medio de spam a otros usuarios.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el troyano, pueden aplicarse cambios en el
sistema no contemplados en esta descripción. Incluso, se
podría requerir la reinstalación de algunos programas,
incluido el sistema operativo.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{73364D99-1240-4DFF-B11A-67E448373048}
3. Haga clic en la carpeta "{73364D99-1240-4DFF-B11A-
67E448373048}" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Browser Helper Objects
\{73364D99-1240-4DFF-B11A-67E448373048}
5. Haga clic en la carpeta "{73364D99-1240-4DFF-B11A-
67E448373048}" y bórrela.
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
\Parameters
\FirewallPolicy
\StandardProfile
\AuthorizedApplications
\List
7. Haga clic en la carpeta "List" y en la ventana de la
derecha, busque y borre todas las entradas relacionadas con
IEXPLORE.EXE.
8. Cierre el editor del registro.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - PSW.Sinowal.AH. Captura el teclado y roba información
_____________________________________________________________
http://www.vsantivirus.com/psw-sinowal-ah.htm
Nombre: PSW.Sinowal.AH
Nombre NOD32: Win32/PSW.Sinowal.AH
Tipo: Caballo de Troya
Alias: Sinowal.AH, PSW.Generic2.DNL, TR/Dldr.Small.aai.2,
Trj/Sinowal.BU, Troj/Torpig-BD, Trojan.DR.Sinowal.Gen.8,
Trojan.PSW.Win32.Sinowal, Trojan.PWS.Sinowal.AG,
Trojan.PWS.Snap, Trojan.Sinowal.ae, Trojan-
PSW.Win32.Sinowal.ae, Trojan-PSW.Win32.Sinowal.ah,
W32/Sinowal.MC, W32/Small.DG!tr, Win32/Anserin!generic,
Win32/PSW.Sinowal.AH, Win32:Trojano-P
Fecha: 27/jul/06
Plataforma: Windows 32-bit
Tamaño: 72,704 bytes (UPX)
Se trata de un "keylogger" (capturador de la salida del
teclado), del tipo PSW (abreviatura de password o
contraseña), capaz de obtener información del usuario y del
equipo infectado. Ello incluye contraseñas, nombres de
usuario, y cualquier información confidencial que la víctima
haya ingresado en cualquier página o documento a través del
teclado. Esta información suele estar relacionada con ciertos
sitios bancarios.
Cuando se ejecuta, el troyano crea los siguientes archivos:
[Carpeta Web Folders]\ibm?????.dll
[Carpeta Web Folders]\ibm?????.exe
[Carpeta Web Folders]\ibm?????.dll
[Carpeta Web Folders]\ibm?????.exe
[Carpeta Web Folders]\tmp.tmp
Donde "?????" son cinco dígitos al azar (por ejemplo: 00001).
[Carpeta Web Folders] puede ser una de las siguientes:
C:\Archivos de programa\Archivos comunes
\Microsoft Shared\Web Folders
C:\Program files\Common files
\Microsoft Shared\Web Folders
También se crean o modifican las siguientes entradas en el
registro para autoejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
shell = [Camino completo]\ibm?????.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = explorer.exe [Camino completo]\ibm?????.exe
Para no ejecutarse más de una vez en memoria, el troyano crea
el siguiente mutex:
MSARCH_MUTEX_NAME
Un mutex (mutual exclusion object), es un objeto utilizado
para controlar el acceso a recursos (cualquier tipo de
programas y aplicaciones, etc.) y evitar que más de un
proceso acceda al mismo tiempo a él.
El troyano no se propaga por si mismo. Puede llegar a nuestro
PC al ser copiado manualmente en el sistema, o al ser
descargado intencionalmente o mediante engaños de algún sitio
malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano
a su víctima en un mensaje electrónico individual o
masivamente por medio de spam a otros usuarios.
Otros malwares también podrían descargarlo y ejecutarlo en un
sistema infectado.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
5. Haga clic en la carpeta "Winlogon" y en el panel de la
derecha, busque la siguiente entrada bajo la columna
"Nombre":
Shell
6. Modifique el valor de "Shell" para que aparezca solo esto:
Shell = Explorer.exe
7. Cierre el editor del registro.
8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - TrojanDownloader.Small.NNJ. Descarga otro troyano
_____________________________________________________________
http://www.vsantivirus.com/trojandownloader-small-nnj.htm
Nombre: TrojanDownloader.Small.NNJ
Nombre NOD32: Win32/TrojanDownloader.Small.NNJ
Tipo: Caballo de Troya
Alias: TrojanDownloader.Small.NNJ, Downloader.Small.NNJ,
Downloader.Small.dif, Downloader.Small.EY, Downloader.Traus,
Downloader-AXM, TR/Dldr.Small.dif, Troj/Dloadr-AKL,
Trojan.DL.Small.CWW, Trojan.Downloader.ASK,
Trojan.Downloader.Small-1736, Trojan-
Downloader.Win32.Small.dif, W32/Downloader.AEZV,
W32/Small.DIF!tr.dldr, Win32/SillyDl.ATO,
Win32/SillyDl.ATO!Trojan, Win32/TrojanDownloader.Small.NNJ
Fecha: 26/jul/06
Plataforma: Windows 32-bit
Tamaño: 3,584 bytes
Caballo de Troya del tipo downloader que al ejecutarse
descarga, sin el conocimiento del usuario, determinados
archivos.
El archivo descargado es copiado en la siguiente ubicación:
c:\28348177711.exe
Este componente es un troyano detectado como Spy.FormSpy.B,
capaz de robar información del equipo infectado, utilizando
para ello el Mozilla Firefox.
NOTA: Esta versión del troyano parece haber sido propagada
vía spam, en un mensaje con las siguientes características:
Datos adjuntos: WC2905036.zip
Texto del mensaje:
Dear Sir/Madam,
Thank you for shopping with our internet shop. Your order,
WC2905036, has been received. Summary of your order you
can see in the attachment file.
This email is to confirm the receipt of your order. Please
do not reply as this email was sent from our automated
confirmation system.
Please Note: There is no need to re-send your request or
call our customer service department for status or
tracking number, this will only delay our response time to
you. Rest assured, we are making every effort to process
and ship your order within 1 to 2 business days. We
appreciate your understanding and patience and do value
your business.
Once your order has been processed and shipped a FEDEX
Tracking number will be automatically emailed to the
address provided.
Please Note: Tracking information will be available in
FedEx's system only after 10pm EST Monday thru Friday. If
you receive a tracking number on Sunday, you will be able
to track it Monday evening after 10pm EST.
All orders placed including 1-2 or 2-3 business day
options are shipped within 48 hours providing the
merchandise is in stock.
All FedEx Ground orders will take 7-10 business days to
arrive. Some packages may require a signature upon
delivery. These packages will not be left without a
signature. For your convenience, we will email you a FedEx
tracking number on all successfully processed and shipped
orders.
All Plasma TVs, DVD players, Scanners, Fax Machines,
Receivers, Home Theater, and Printers are not returnable
after box is opened.
To insure the best handling of your order please allow
24-48 business hours for the processing and the shipping
of your order. Thank you for your cooperation.
We hope you enjoy your order! Thank you for shopping with
us!
* Información relacionada:
Spy.FormSpy.B. Se instala como extensión de Firefox
http://www.vsantivirus.com/spy-formspy-b.htm
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 2203 Año 10, sábado 29 de julio de 2006
|
Responder a este mensaje
