|
Mostrando mensaje 1298
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No 2246 Año 10, lunes 18 de setiembre de 2006 | | Fecha: | 18 de Septiembre, 2006 06:59:59 (+0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No 2246 Año 10, lunes 18 de setiembre de 2006
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Test independiente valida tecnología de ESET NOD32
2 - Dos millones de dólares por distribuir spyware
3 - Ilsela.A. Se propaga por mail y SMS como curriculum
4 - Locksky.BP. Acceso remoto, se propaga por e-mail
5 - TrojanDropper.Kukudro. Se propaga en macro de Word
6 - Locksky.BO. Acceso remoto, se propaga por e-mail
_____________________________________________________________
1 - Test independiente valida tecnología de ESET NOD32
_____________________________________________________________
http://www.vsantivirus.com/nod32-test-heuristica.htm
Test independiente valida tecnología de ESET NOD32
Un informe de AV-Comparatives
(http://www.av-comparatives.org/), confirma que la
combinación de una fuerte heurística proactiva junto con
actualizaciones diarias de firmas provista por ESET, resulta
ser lo más efectivo para combatir código malicioso.
ESET, líder en protección proactiva contra amenazas, anunció
otra validación de su tecnología heurística avanzada
ThreatSense(r) basada en los resultados de una reciente
prueba realizada por AV-Comparatives.
Los resultados revelan que las actualizaciones más frecuentes
de firmas de antivirus no necesariamente brindan una mayor
protección contra el código malicioso y no pueden reemplazar
el trabajo que la heurística realiza para una detección
proactiva.
La prueba del laboratorio independiente comparó los índices
de lanzamiento y el volumen de actualizaciones de cuatro
soluciones antivirus líderes y mostró claramente que la
fuerte protección heurística proactiva junto con
actualizaciones diarias de firmas, ofrece la protección más
integral para cuidar a los usuarios de las formas emergentes
y existentes de código malicioso.
Este descubrimiento no es sorprendente ya que las amenazas
del día cero se encuentran más allá del alcance de las firmas
para una protección integral del usuario final.
AV-Comparatives estima que desde 2002 la cantidad de
registros de nuevos virus se ha duplicado año tras año,
mientras que los proveedores intentan seguir el ritmo de la
escalada en la variedad de código malicioso.
Confiar en las firmas solamente no resolverá el problema. Sin
importar qué tan rápido se lancen las actualizaciones nunca
se podrá cerrar por completo la brecha y estar al mismo nivel
de las cambiantes amenazas, lo que deja una ventana crítica
de vulnerabilidad.
"NOD32 es el líder en premios Advanced+, ya que recibió los
honores más importantes en cada una de las últimas cinco
pruebas. Esto implica que tiene la funcionalidad de detección
de código malicioso más proactiva de todos los productos
probados a lo largo de los últimos doce meses," comentó
Andreas Clementi, gerente de proyecto de AV-Comparatives a
cargo de dicha prueba.
"Las evaluaciones retrospectivas son cruciales porque indican
la capacidad del producto para detener los ataques de día
cero sin tener que esperar horas por las firmas".
"El informe de AV-Comparatives subraya el valor de la
heurística avanzada, que es la piedra angular del programa
NOD32 de ESET," indicó Andrew Lee, gerente de investigación
de ESET.
"De acuerdo con los resultados de estas pruebas, Kaspersky
lanza nueve veces más actualizaciones que ESET, pero detecta
un tercio del código malicioso que ESET bloquea de manera
proactiva. Por el contrario, ESET lanza actualizaciones dos o
tres veces como Symantec y McAfee y también cuenta con una
protección proactiva dos o tres veces mejor".
El informe de AV-Comparatives, que se publicó en agosto de
2006, evaluó los índices de lanzamiento y el volumen de
actualizaciones de las bases de datos de firmas entre cuatro
proveedores antivirus líderes que han recibido, de manera
permanente, la certificación Advanced+ de AV-Comparatives:
ESET, Kaspersky, McAfee y Symantec.
Este no fue un informe solicitado, por lo tanto, ninguno de
los proveedores participantes estaba al tanto que, durante
junio y julio de 2006, se estaba realizando este estudio.
El informe de AV-Comparatives también trata la relación entre
la frecuencia de actualizaciones de firmas y el control de
calidad. Las compañías que lanzan actualizaciones
constantemente, generalmente tienen el índice más alto de
falsos positivos debido al poco tiempo disponible para
trabajar los posibles problemas en las actualizaciones.
El desafío de los proveedores antivirus es encontrar el
equilibrio justo entre ofrecer una protección heurística
proactiva y las actualizaciones constantes de firmas.
NOTA: Video Soft, empresa creadora del sitio VSAntivirus,
representa de forma exclusiva en Uruguay a ESET NOD32
Antivirus. Más información: http://www.nod32.com.uy/,
http://www.eset.com.uy/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Dos millones de dólares por distribuir spyware
_____________________________________________________________
http://www.vsantivirus.com/ru-18-09-06.htm
Dos millones de dólares por distribuir spyware
Por Ramón Urán
ramonuran@videosoft.net.uy
La Comisión Federal de Comercio de Estados Unidos (FTC, por
sus siglas en inglés), ha aceptado 2 millones de dólares como
acuerdo en una operación contra una compañía ilegal de
spyware.
Enternet Media, Conspy & Co, así como Lida Rohbani, Nima
Hakimi y Baback Hakimi, todos de California, distribuían
software como Search Miracle, Miracle Search, EM Toolbar,
EliteBar y Elite Toolbar, todos ellos capaces de registrar la
actividad del usuario, cambiar la configuración de los
navegadores y agregar publicidad mientras las personas
navegan por Internet.
La juez Christine Snyder, ordenó que los demandados sean
prohibidos de intervenir con el uso de computadoras, y
permanentemente prohibidos de hacer presentaciones falsas y
engañosas con respecto al desempeño, características, y
costos de cualquier software, incluyendo tergiversar que el
código es una actualización del navegador o de cualquier otro
programa de seguridad, así como música, canciones, letras de
canciones o tonos para celulares.
Los sitios Web de los demandados y sus afiliados, hacían que
apareciesen ventanas emergentes no deseadas de instalación de
programas en las computadoras de sus consumidores. Llegaron a
ofrecer una variedad de programas freeware, archivos de
música, ringtones, fotos, fondos de escritorio y letras de
canciones. En otros casos dichas ventanas invitaban a
descargar parches de actualización de los navegadores de
Internet, advirtiendo falsamente sobre problemas de seguridad
en las máquinas de los usuarios.
Quienes descargaron dichos parches, no recibieron nunca lo
prometido. Por lo contrario, sus máquinas se vieron
infectadas con spyware que interfirió en su funcionamiento y
que además era muy difícil de remover.
Este spyware registraba la actividad del usuario en Internet,
modificaba los ajustes personales de los equipos infectados,
así como insertaba notorias ventanas con publicidad. Luego de
la demanda de la FTC, la corte detuvo las operaciones de
dichas compañías, y ordenó cerrarlas.
El acuerdo requiere también el pago de una multa de unos 2
millones de dólares por las ganancias obtenidas por el
spyware, aunque aún resta otra demanda pendiente por unos 8,5
millones más.
La FTC dijo que todo esto había sido posible gracias a la
cooperación de empresas como Microsoft, Webroot y Google.
* Fuente:
US authorities shuts down spyware operation
http://www.techworld.com/security/news/index.cfm?newsID=6827&
pagtype=samechan
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Ilsela.A. Se propaga por mail y SMS como curriculum
_____________________________________________________________
http://www.vsantivirus.com/ilsela-a.htm
Nombre: Ilsela.A
Nombre NOD32: VBS/Ilsela.A
Tipo: Gusano de Internet
Alias: Ilsela.A, VBS/Alien.8869@mm, VBS/Alien.gen@MM,
VBS/Eliles.A.worm, VBS/Ilsela.A, VBS/Unknown,
Worm.VBS.Eliles.B
Fecha: 16/set/06
Plataforma: Windows 32-bit
Tamaño: 45,835 bytes
Gusano de Internet escrito en Visual Basic Script, que se
propaga por correo electrónico y mensajes SMS. Es capaz de
finalizar los procesos de conocidos antivirus, y modificar el
sistema para intentar ocultarse y dificultar su detección y
eliminación.
Para propagarse por correo electrónico, el gusano utiliza
mensajes con las siguientes características:
De: [nombre] @ ono.com
Donde [nombre] es uno de los siguientes:
acutel
alerjosemoreno
aleroic
anaballabriga
animaciencia
antonioboronat
asindown
ceutideportes
cnbenicarlo
ChiLiTa
davidconejero
dni
Fernando.Ramos
izmacian
jadela
jllrives
Jm_Torres
juher
konsulatRPmurcia
lone.star
marcial
marinadef
mlgarciaarranz
p_canter
pedrotoledo
peterhall
ramirezmerino
rapidisa
raulmed
ullances
vicenterevenga
Asunto:
Adjunto Curriculum Vitae para posible vacante.
Texto del mensaje:
Adjunto Currilum Vitae, por estar interesado en algún
puesto vacante en su empresa,me encantaria que lo tuviera
en cuenta, ya que estoy buscando trabajo por esa zona. Sin
más, reciba un cordial Saludo.
Datos adjuntos:
c.vitae.zip
Para propagarse por telefonía celular, envía mensajes SMS con
las siguientes características:
De: [dirección del usuario infectado]
Para: [teléfono]+[dominio]
Donde [teléfono] es un número de celular obtenido en el
teléfono infectado y [dominio] uno de los siguientes:
@ movistar .es
@ vodafone .es
Asunto:
Msj Operador: Proteja su movil
Texto del mensaje:
Descarguese gratis el Antivirus para Nokias Series 60.
(6630,6680,7610,7650,N70,N90), totalmente gratuito.
[dirección web]/Antivirus.sis
Si el usuario descarga el archivo indicado en el enlace y
procede a instalarlo, su celular será infectado y comenzará a
enviar otros mensajes a otros teléfonos móviles.
Cuando se ejecuta en una computadora, el gusano crea los
siguientes archivos:
c:\msocache\c.vitae.vbe
c:\windows\fonts\c.vitae.zip
c:\windows\msdbgsrv.dll
c:\windows\system\msnmsgr.vbe
c:\windows\system32\iexplore.vbe
c:\windows\system32\msn.vbe
c:\windows\system32\msnmsgr.vbe
c:\windows\system32\setup\messenger.vbs
NOTA: En todos los casos, "c:\windows" y
"c:\windows\system32" pueden variar de acuerdo al sistema
operativo instalado ("c:\winnt", "c:\winnt\system32",
"c:\windows\system", etc.).
También crea la siguiente entrada en el registro, para
autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MSN Messenger = "c:\windows\system32\setup\messenger.vbs"
Las siguientes entradas son creadas o modificadas:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoDrives = "4"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NoRun = "1"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"
La primera entrada (NoDrives = 4), deshabilita el acceso a la
unidad de disco C. Bajo Windows XP el disco no es accesible
de ninguna forma, mientras que en Windows 2000 solo está
oculto.
"NoRun", deshabilita la opción Inicio\Ejecutar.
"DisableRegistryTools" impide que se pueda utilizar el editor
del registro (REGEDIT).
Para propagarse por correo electrónico, el gusano busca
direcciones en archivos del equipo infectado con las
siguientes extensiones:
.asp
.ctt
.doc
.eml
.gfm
.hta
.html
.htt
.ini
.map
.mapimail
.nfo
.php
.shtml
.wab
.xls
El gusano es capaz de finalizar los siguientes procesos
pertenecientes a conocidos antivirus y cortafuegos, si
detecta alguno de ellos en memoria:
apvxdwin.exe
avengine.exe
bdnagent.exe
bdswitch.exe
mcagent.exe
mcdetect.exe
navapsvc.exe
navapw32.exe
navw32.exe
pavcl.com
pavfires.exe
savscan.exe
El código del gusano contiene el siguiente texto:
'Eilsel.Worm
* Reparación manual
* Descargue herramienta de limpieza
1. Descargue el siguiente archivo:
http://www.vsantivirus.com/ilsela-a.htm#lim
http://www.videosoft.net.uy/restaurar.inf
2. Guárdelo en una carpeta a la que luego pueda acceder
fácilmente.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Localice el archivo descargado antes (RESTAURAR.INF), en
el ítem "Descargue herramienta de limpieza", haga clic sobre
él con el botón derecho y seleccione "Instalar" (al
ejecutarse, no se mostrará ningún mensaje).
2. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
3. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
4. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
5. Cierre el editor del registro.
6. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Locksky.BP. Acceso remoto, se propaga por e-mail
_____________________________________________________________
http://www.vsantivirus.com/locksky-bp.htm
Nombre: Locksky.BP
Nombre NOD32: Win32/Locksky.BP
Tipo: Caballo de Troya y gusano de Internet
Alias: Locksky.BP, I-Worm.Locksky, Trojan.Small,
W32/Loosky.gen@MM, Win32/Locksky.BP
Fecha: 4/set/06
Plataforma: Windows 32-bit
Caballo de Troya del tipo multicomponentes, que puede
propagarse como gusano a través del correo electrónico.
Cuando se ejecuta, se mantiene en memoria, habilitando un
servidor clandestino con una puerta trasera que puede
permitir a un usuario remoto tomar el control total del
equipo infectado.
El troyano intenta descargar varios archivos de un
determinado servidor HTTP.
Crea las siguientes entradas en el registro, la primera para
autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sysvx = [nombre ejecutable del troyano]
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip
TcpNumConnections = [valor]
Utiliza el comando NETSH de Windows, para intentar eludir el
firewall integrado de Windows XP (el parámetro "firewall"
solo funciona en SP2):
netsh firewall set allowedprogram [nombre troyano] enable
El troyano monitorea la apertura de ciertas ventanas de
Internet relacionadas con la banca on-line, etc., e intenta
capturar la información desplegada y la ingresada por el
usuario en ellas (contraseñas, etc.).
Estos datos, y los relacionados con la configuración de la
propia computadora infectada, son enviados a un usuario
remoto.
También puede actuar como un servidor proxy, reenviando
información a Internet a través del equipo infectado.
El troyano puede descargar una versión actualizada de si
mismo, desde un servidor predeterminado en su código.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Tcpip
5. Haga clic en la carpeta "Tcpip" y en el panel de la
derecha, bajo la columna "Datos", busque y borre la siguiente
entrada:
TcpNumConnections = [valor]
6. Cierre el editor del registro.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - TrojanDropper.Kukudro. Se propaga en macro de Word
_____________________________________________________________
http://www.vsantivirus.com/trojandropper-kukudro.htm
Nombre: TrojanDropper.Kukudro
Nombre NOD32: W97M/TrojanDropper.Kukudro
Tipo: Caballo de Troya
Alias: TrojanDropper.Kukudro, TrojanDropper.Kukudro.G,
TrojanDropper.Kukudro.L, TrojanDropper.Kukudro.M
Fecha: 29/jun/06
Actualizado: 18/set/06
Plataforma: Windows 32-bit
Se trata de un macro de Word, escrito en VBA (Visual Basic
for Applications).
Suele ser enviado masivamente en forma de spam, en mensajes
con un archivo adjunto conteniendo un documento infectado.
Cuando el usuario abre este documento, se ejecuta un macro
que se vale de una vulnerabilidad en Microsoft Word para
instalar y ejecutar un troyano que intenta eludir el
cortafuego de Windows XP, para descargar y ejecutar otros
archivos desde un servidor remoto.
El macro solo puede ejecutarse en Office 2003 o superior, si
la opción de seguridad de macros está habilitada.
En versiones anteriores de Word (97, 2000 y XP), el macro se
vale de una vulnerabilidad reparada por Microsoft en junio de
2001.
Más información:
Ejecución de macros sin aviso en Word (MS01-034)
http://www.vsantivirus.com/vulms01-034.htm
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
6 - Locksky.BO. Acceso remoto, se propaga por e-mail
_____________________________________________________________
http://www.vsantivirus.com/locksky-bo.htm
Nombre: Locksky.BO
Nombre NOD32: Win32/Locksky.BO
Tipo: Caballo de Troya y gusano de Internet
Alias: Locksky.BO, I-Worm.Locksky, Trojan.Small,
W32/Loosky.gen@MM, Win32/Locksky.BO
Fecha: 1/set/06
Plataforma: Windows 32-bit
Caballo de Troya del tipo multicomponentes, que puede
propagarse como gusano a través del correo electrónico.
Cuando se ejecuta, se mantiene en memoria, habilitando un
servidor clandestino con una puerta trasera que puede
permitir a un usuario remoto tomar el control total del
equipo infectado.
El troyano intenta descargar varios archivos de un
determinado servidor HTTP.
Crea las siguientes entradas en el registro, la primera para
autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sysvx = [nombre ejecutable del troyano]
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip
TcpNumConnections = [valor]
Utiliza el comando NETSH de Windows, para intentar eludir el
firewall integrado de Windows XP (el parámetro "firewall"
solo funciona en SP2):
netsh firewall set allowedprogram [nombre troyano] enable
El troyano monitorea la apertura de ciertas ventanas de
Internet relacionadas con la banca on-line, etc., e intenta
capturar la información desplegada y la ingresada por el
usuario en ellas (contraseñas, etc.).
Estos datos, y los relacionados con la configuración de la
propia computadora infectada, son enviados a un usuario
remoto.
También puede actuar como un servidor proxy, reenviando
información a Internet a través del equipo infectado.
El troyano puede descargar una versión actualizada de si
mismo, desde un servidor predeterminado en su código.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Tcpip
5. Haga clic en la carpeta "Tcpip" y en el panel de la
derecha, bajo la columna "Datos", busque y borre la siguiente
entrada:
TcpNumConnections = [valor]
6. Cierre el editor del registro.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No 2246 Año 10, lunes 18 de setiembre de 2006
|
Responder a este mensaje
