Mostrando mensaje 130     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1081 Año 7, Lunes 23 de junio de 2003 Fecha: Lunes, 23 de Junio, 2003  23:30:53 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1081 Año 7, Lunes 23 de junio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - El Senador Cazado 2 - Hoax: Welcome to the matrix.pps (SPAM) 3 - W32/Auric.D. Modifica el sistema 4 - Troj/Maran.A. Se distribuye como SERVICES.EXE 5 - W32/Nofear.C. Infecta ejecutables y elimina antivirus _____________________________________________________________ 1 - El Senador Cazado _____________________________________________________________ http://www.vsantivirus.com/23-06-03.htm El Senador Cazado Este artículo proviene de Webpanto http://www.webpanto.com El senador Orrin Hatch, auténtico adalid de los derechos de copyright, y tristemente popular por mostrarse partidario de estropear los ordenadores de los usuarios de redes de pares, ha sido pillado en un renuncio que lo ha dejado en evidencia. Tras mostrarse partidario el pasado martes de inutilizar los ordenadores de los usuarios que descargan materiales protegidos por la ley de derechos de autor, resulta que el senador Orrin Hatch está empleando en su página web software sin licencia oficial. En la página web del senador se emplea un sistema de menús desarrollado en Javascript que ha sido desarrollado por Milonic Solutions, una empresa de software británica que no ha concedido licencia sobre el empleo de su código. Según ha declarado Andy Woolley, CEO de Milonic: "Se trata de una copia sin licencia, una práctica bastante desacertada por parte del senador, sobre todo si tenemos en cuentas sus recientes comentarios contra los infractores de las leyes de copyright". El código empleado por Hatch cuesta 900 dólares, aunque es gratuito en caso de uso personal o no comercial, pero en dicho caso el usuario deberá registrarse para recibir un código de registro e incluir un link en el código fuente a la web de Milonic. La página del senador [http://www.senate.gov/~hatch/] no cumple con ninguno de dichos requisitos. La dirección de esta noticia es: http://www.webpanto.com/articulo.php?sid=2088 * Referencias: Operación: "destruyan las computadoras de los piratas" http://www.vsantivirus.com/19-06-03.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Hoax: Welcome to the matrix.pps (SPAM) _____________________________________________________________ http://www.vsantivirus.com/hoax-matrix-pps-htm Nombre: Welcome to the matrix.pps Tipo: SPAM, Falsa alarma de virus Alias: Bienvenue dans la matrice Fecha: jun/03 Idioma: Francés Origen: Desconocido Este mensaje se ha estado distribuyendo en su idioma original (francés). Es probable surjan mensajes en otros idiomas, incluido español. El mismo hace referencia a un supuesto virus que se estaría distribuyendo con el nombre de "Welcome to the matrix.pps". Para darle mayor credibilidad, menciona a un servicio antivirus de Microsoft. No existe ningún reporte de un virus que cumpla las condiciones aquí descriptas, por lo tanto, al momento actual debe tomarse este aviso como un HOAX, una falsa alarma. Si recibe un mensaje similar, no lo redistribuya, y simplemente bórrelo. Sin embargo, recuerde que CUALQUIER archivo vinculado a un mensaje de correo electrónico, puede encerrar riesgos muy grandes si es abierto sin tomar precauciones. Utilice el sentido común. No abra jamás ningún archivo adjunto no solicitado. --- Texto del Hoax (idioma original) --- ATTENTION ALERTE VIRUS Date: Tue, 10 Jun 2003 13:50:16 +0200 Bonjour, Soyez extrêmement prudents si vous utilisez des boîtes internet comme MSN, Yahoo, Wanadoo, AOL, Infonie et free. Cette information est arrivée ce matin à Microsoft de Norton. Envoyez cet email à tous ceux qui utilisent Internet. Vous pouvez recevoir un mail apparemment insignifiant présenté comme un fichier Power Point nommé "Welcome to the matrix.pps" (Bienvenue dans la matrice). Si vous le recevez, N'OUVREZ SURTOUT PAS CE MAIL ! Et effacez le immédiatement. Si vous l'ouvrez, il y aura une animation de 10 seconde suivit d'un message : "You're hard drive is over" , il est trop tard et vous PERDREZ TOUT LE CONTENU DE VOTRE PC et la personne qui vous l'a envoyé obtiendra votre adresse mail et votre ip. C'est un nouveau virus qui a commencé à circuler lundi après midi. NOUS AVONS BESOIN DE FAIRE TOUT NOTRE POSSIBLE POUR STOPPER CE VIRUS : Microsoft a déjà confirmé son agressivité, et les logiciels antivirus ne sont pas capable de le détruire. Le virus a été créé par un pirate français appelé "Nwin27" FAITES UNE COPIE DE CE MAIL ET ENVOYEZ LE A TOUS CEUX QUE VOUS CONNAISSEZ Merci de votre coopération Mr Gill Lacroix Service Sécurité Anti-Virus de Microsoft ------ Final del texto del HOAX ------ Si recibe mensajes como estos, no los distribuya, son falsas alarmas, y sus principales características son: 1. Sugerir que Ud. evite un archivo con algún nombre específico. 2. El pedirle lo "reenvíe a todos sus amigos o conocidos", incluso en forma de cadenas. 3. No proporcionar enlaces a las supuestas fuentes mencionadas, donde alguien con más autoridad en el tema pueda ofrecer detalles concretos y documentados sobre la amenaza. Existe una larga lista de este tipo, que en realidad se tratan de bromas, bulos o engaños, conocidos en la red como "hoaxes", y que circulan a través del e-mail, advirtiendo sobre "virus" inexistentes. Más allá de lo que estas falsas alarmas anuncien, tenga en cuenta que aunque en el momento actual tal virus no exista, nada impide que en el futuro aparezca un virus, o que un archivo infectado sea renombrado con el mismo nombre del HOAX. Para reducir la cantidad de mensajes de este tipo que se propagan a través de la red, y para evitar molestar a otras personas, no reenvíe jamás estos mensajes, y no propague estas advertencias, a menos que usted haya verificado su exactitud con alguna fuente seria y responsable. Puede encontrar una lista de las falsas alarmas más comunes, en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm, o puede consultarnos a nuestra dirección e-mail: videosoft@videosoft.net.uy cuando reciba uno de estos mensajes. Otros sitios en español donde siempre podrá encontrar información debidamente investigada y comprobada: http://www.virusattack.com.ar http://www.rompecadenas.com.ar http://www.alertaantivirus.es http://www.enciclopediavirus.com En inglés: http://kumite.com/myths/myths/ http://antivirus.about.com/compute/antivirus/library/blenhoax.htm http://www.f-secure.com/hoaxes/hoax_new.shtml http://www.symantec.com/avcenter/hoax.html http://www.antivirus.com/vinfo/hoaxes/hoax.asp http://vil.nai.com/VIL/hoaxes.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Auric.D. Modifica el sistema _____________________________________________________________ http://www.vsantivirus.com/auric-d.htm Nombre: W32/Auric.D Tipo: Gusano de Internet Alias: W32/Auric.E, I-Worm.Magold.e, W32/Magold-D, WORM_AURIC.D, W32/Auric.D@mm, Win32.HLLM.Maya, Fecha: 23/jun/03 Plataforma: Windows 32-bit Tamaño: 238,592 bytes (UPX), 619,008 bytes Este gusano puede presentarse en dos versiones, una de ellas comprimida con la utilidad UPX. Modifica el funcionamiento del ratón, impidiendo que su puntero pueda ser situado sobre las barras de herramientas. También crea varios archivos en el escritorio, desactiva el administrador de tareas, abre el browser con una página web determinada, cada cierto tiempo expulsa la bandeja del CD, y también detiene el funcionamiento de ciertos antivirus. Escrito en Borland Delphi, sus tamaños varían de 240 Kb (comprimido), a 622 Kb (sin comprimir). El gusano se propaga a través del correo electrónico, de los programas de intercambio de archivos entre usuarios (P2P) y de los canales de chat. El gusano puede llegar en un mensaje con estas características: De: "VALO VILAG" <valovilag@rtlklub.hu> Asunto: (uno de los siguientes): Sziszi, a voros demon! Sziszi a zuhanyzoban! Datos adjuntos: SZISZI_VIDEO.EXE Texto: Tisztelt Cím! Az RTL KLUB jóvolt ból Ön most részt vehet egy Internetes nyereményj tékban, ahol ak r 10.000.000 Ft-ot is nyerhet. Ehhez nem kell m st tenni, mint a levélhez csatolt flash-videót lefuttatni (ami Sziszi-t a Való Vil g 2 szt rj t mutatja be zuhanyz s közben), majd a film végén megjeleno azonosítót visszakldeni a valovilag@rtlklub.hu címre és Ön m ris j tékba kerlt. A sorsol s nyerteseit E-Mail-ben értesí tjk 2003.06.30.- n. Üdvözlettel: RTL KLUB - NA NA û Cuando se ejecuta, crea los siguientes archivos: c:\windows\MAYA GOLD.SCR c:\windows\DREAD.EXE c:\windows\system\WDREAD.EXE c:\windows\system\RAVEC.TXT Los tres primeros son copia del propio gusano, y el archivo .TXT contiene las direcciones de correo a las que enviará los mensajes infectados. NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). Dentro del directorio Windows, crea la carpeta "WDREAD" y otra copia de si mismo: c:\windows\WDREAD\MAYA GOLD.SCR Si en la computadora infectada están instalados los programas mIRC o pIRCh, crea los siguientes archivos, con la configuración necesaria para enviarse a través de los canales de IRC (como MAYA GOLD.SCR), cuando el usuario se conecta a ellos: \mirc\script.ini \mirc32\script.ini \pirch98\events.ini Además, crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run raVe = c:\windows\DREAD.EXE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices raVe = c:\windows\DREAD.EXE Para transferirse a través de la red KaZaa: HKCU\Software\Kazaa\Transfera DlDir0 = c:\windows\WDREAD Para ejecutarse cada vez que se llamen a archivos con extensión .BAT, .COM, .EXE, .PIF y .SCR: HKEY_CLASSES_ROOT\batfile\shell\open\command (Predeterminado) = c:\windows\DREAD.EXE "%1" %* HKEY_CLASSES_ROOT\comfile\shell\open\command (Predeterminado) = c:\windows\DREAD.EXE "%1" %* HKEY_CLASSES_ROOT\exefile\shell\open\command (Predeterminado) = c:\windows\DREAD.EXE "%1" %* HKEY_CLASSES_ROOT\piffile\shell\open\command (Predeterminado) = c:\windows\DREAD.EXE "%1" %* HKEY_CLASSES_ROOT\scrfile\shell\open\command (Predeterminado) = c:\windows\DREAD.EXE "%1" /S También registra el siguiente valor: HKEY_LOCAL_MACHINE\SOFTWARE\dreAd Para propagarse a través del correo electrónico, el gusano configura una cuenta en el Outlook u Outlook Express, y desde ella envía una copia de si mismo a todos los contactos de la libreta de direcciones de Windows, y a todas las direcciones recogidas de archivos cuyas extensiones correspondan al siguiente comodín: *.HT* (*.htm, *.html, *.hta, etc.). Estas direcciones son almacenadas en el archivo "c:\windows\system\RAVEC.TXT" visto antes. El mensaje enviado tiene las características ya vistas. Para propagarse por las redes P2P, se copia como "MAYA GOLD.SCR" en los siguientes directorios compartidos por defecto por estos programas: \Limewire\Share\ \Gnucleus\Downloads\ \Gnucleus\Downloads\Incoming\ \Shareaza\Downloads\ \Bearshare\Shared\ \Edonkey2000\Incoming\ \Morpheus\My Shared Folder\ \Grokster\My Grokster\ \ICQ\Shared Files\ \Edonkey2000\ Después de su ejecución, cada cierto tiempo realiza las siguientes acciones: - Abre la bandeja del CD-ROM - Llena el escritorio con 2001 archivos .TXT vacíos - Cambia el color de las ventanas de Windows por un rojo intenso - Impide que el cursor de Windows se mueva sobre algunas áreas de la pantalla - Agrega otros títulos a los títulos de las ventanas activas de WindowsPuede enviar información de la computadora infectada a un usuario remoto El gusano también intenta sacar por la impresora algunos textos en húngaro. Además puede finalizar los procesos en ejecución cuyos nombres contengan las siguientes cadenas de caracteres: VIR AV NORT AFEE ANTI El gusano también crea copias de si mismo con el nombre de "Maya Gold.SCR" en las unidades mapeadas de una red y en unidades removibles (como la disquetera). * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Reparación especial (archivos asociados) NOTA: Debido a las modificaciones hechas al registro se deben seguir los siguientes pasos para su correcta modificación. 1. Actualice sus antivirus con las últimas definiciones y descargue (por ejemplo en el escritorio de Windows) el archivo "exefile.reg" de nuestro sitio: http://www.videosoft.net.uy/exefile.reg Luego, reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm Haga doble clic sobre el archivo "exefile.reg" descargado anteriormente en su PC, y confirme las modificaciones a realizar. 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\MAYA GOLD.SCR c:\windows\DREAD.EXE c:\windows\system\WDREAD.EXE c:\windows\system\RAVEC.TXT \mirc\script.ini \mirc32\script.ini \pirch98\events.ini Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir cada una de las siguientes ramas: HKEY_CLASSES_ROOT\batfile\shell\open\command (Predeterminado) = c:\windows\DREAD.EXE "%1" %* HKEY_CLASSES_ROOT\piffile\shell\open\command (Predeterminado) = c:\windows\DREAD.EXE "%1" %* HKEY_CLASSES_ROOT\scrfile\shell\open\command (Predeterminado) = c:\windows\DREAD.EXE "%1" /S 3. En todos los casos, pinche sobre la carpeta "command", y en el panel de la derecha, pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del gusano (c:\windows\DREAD.EXE) y dejar el resto, de modo que finalmente quede así: HKEY_CLASSES_ROOT\batfile\shell\open\command (Predeterminado) = "%1" %* HKEY_CLASSES_ROOT\piffile\shell\open\command (Predeterminado) = "%1" %* HKEY_CLASSES_ROOT\scrfile\shell\open\command (Predeterminado) = "%1" /S 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: raVe 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 7. Pinche en la carpeta "RunRunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: raVe 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Kazaa \Transfera 9. Pinche en la carpeta "Transfera" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DlDir0 = c:\windows\WDREAD 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \dreAd 11. Pinche en la carpeta "dreAd" y bórrela. 12. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual". * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Maran.A. Se distribuye como SERVICES.EXE _____________________________________________________________ http://www.vsantivirus.com/maran-a.htm Nombre: Troj/Maran.A Tipo: Caballo de Troya Alias: Maran, Trojan.Win32.Maran, Win32/Maran.A Fecha: 16/jun/03 Tamaño: 387,072 bytes Plataforma: Windows 32-bit Este troyano suele distribuirse en un archivo llamado SERVICES.EXE, de 387,072 bytes. Aunque no tiene ninguna rutina para propagarse por si solo vía e-mail, nada impide que pudiera ser enviado conscientemente (o mediante engaños) en un mensaje, por lo que se sugiere precaución antes de ejecutar cualquier nuevo archivo recibido por este medio. También podría llegar a la computadora de la víctima al ser descargado de Internet (por ejemplo de redes P2P), o copiado de disquetes, CDs, etc. Cuando se ejecuta, no se produce ningún cambio visible, ni se muestra mensaje alguno, pero a partir de ese momento, toda ventana de programa que se muestre en pantalla utilizando la interface GUI de Windows (la interface gráfica de usuario), en lugar del título de la misma, se mostrará basura y alguna frase soez. Por ejemplo: Ìàðèíà è ßí $/:õàãíóòûå àäîèíû ìîæèçíè/::$ Fack you!!!!!!!!!@@@@@@@@ El proceso SERVICES.EXE o SERVICES es visible si se accede a la lista de tareas (CTRL+ALT+SUPR). El troyano no realiza ningún otro cambio en el sistema. * Reparación manual Para eliminar manualmente este troyano de un sistema infectado, siga estos pasos: 1. Detenga el proceso del virus en memoria: a. en Windows 9x y Me, pulse CTRL+ALT+SUPR. b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC. 2. En ambos casos, en la lista de tareas, señale cualquiera de las siguientes opciones que pudieran aparecer: SERVICES SERVICES.EXE 3. Seleccione el botón de finalizar tarea. En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos. * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Nofear.C. Infecta ejecutables y elimina antivirus _____________________________________________________________ http://www.vsantivirus.com/nofear-c.htm Nombre: W32/Nofear.C Tipo: Gusano de Internet e infector de ejecutables Alias: W32/Trile.C, W32/Nofear.c@MM, I-Worm.Fearso.c, Win32/Farex.C, W32/Nofer-C, PE_NOFEAR.C, W32/Nofer.C@mm, W95/Fearso.C@mm Fecha: 23/jun/03 Plataforma: Windows 32-bit Tamaño: ~48 Kb Variante similar a las anteriores, con pequeñas diferencias en su código. Se trata de un gusano capaz de propagarse a través del correo electrónico y de las utilidades de intercambio de archivos entre usuarios KaZaa y Shareaza. Además, intenta finalizar la ejecución de varios antivirus y cortafuegos, e infecta ejecutables del sistema. Cuando un archivo infectado se ejecuta, infecta a otros ejecutables. El gusano inyecta un componente llamado "kernel.dll" dentro del espacio del proceso "Explorer.exe" (o sea dentro del proceso del entorno gráfico del propio Windows). Además, abre el puerto 555 con la intención de vulnerar la protección de algunos cortafuegos. Los destinatarios de los mensajes infectados son seleccionados de la libreta de direcciones de Windows (WAB), del libro de direcciones del Eudora y de la lista de contactos del MSN Messenger. Estas son las característica de esos mensajes: Uno de los siguientes asuntos: $150 FREE Bonus!! 25 merchants and rising! Announcement! Bad news!! CALL FOR INFORMATION! Click on this! Correction of errors! Cows Daily Email Reminder! Empty account! Fantastic! Free Shipping! FSM32 Get 8 FREE issues - no risk!! Get a FREE gift! Greets!! Hi! History screen! I need help about script!!! Interesting... Introduction Its Easy! ing! Just a reminder! Lost & Found! Market Update Report! Membership Confirmation My eBay ads! New bonus in your cash account! New Contests! New Reading News Payment notices! Please Help... Report SCAM alert!!! Sponsors needed! Star Wars II Movie Stats Today Only!! Tools For Your Online Business! Various! Warning! Wow! Your Gift! Your News Alert!! Uno de los siguientes textos en el cuerpo del mensaje: Attached one Gift for u.. Check the Attachment! Check the Attachment.. Enjoy the Attachment! Hi Check the Attachment ... More details Attached! See the Attachment! Y como datos adjuntos, un archivo con dos extensiones. La primera parte del nombre es una de las siguientes: bullshitscr Checkfriends Enjoylove Freescreensaver Friends Friends4u Friendscr Friendsearch friendsgreetings friendship friendship4u friendshipbird Friendshipforu Friendsworld fucker Greetings Love Love4u lovefinder lovegreetings Lovers Loverscreensaver Loversgang Lovescr Loveshore Passion passionup Rishtha saver Screensaver Screensaver4u Screensaverforu shakeit Shakescr shakingfriendship shakinglove Shareit Sharelove Truefriends Truelovers Urfriend Werfriends Como dijimos, el adjunto utiliza siempre dos extensiones, las que son tomadas de los siguientes grupos: Primera extensión: .bmp .dat .doc .gif .htm .jpg .mdb .mp3 .mpg .txt .wav .xls Segunda extensión: .bat .pif .scr Ejemplos: Lovers.bmp.pif Enjoylove.mp3.bat El icono del adjunto, casi siempre es el mismo que el usado por WinRAR, un conocido compresor de archivos. Cuando el adjunto se ejecuta, se muestran mensajes de error como estos: Error Stack overflow [ OK ] Error This Software need more virtual memory! [ OK ] Error Application attempted to read memory at 0xFFFFFFFFh! [ OK ] Error This File is Corrupted! [ OK ] Error This software need MSIO32.DLL [ OK ] Luego, se crean los siguientes archivos: c:\windows\[nombre al azar].exe c:\windows\svchost.exe c:\windows\kernel.dll (~70 Kb) Los dos primeros son copias del propio gusano, y tienen 48 Kb. aproximadamente. NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). También crea copias de si mismo en la carpeta "My Downloads" (si no existe, la crea en el raíz de la unidad C): C:\My Downloads\ Los nombres de sus copias, son formados con la combinación de los siguientes componentes [Primera parte]+[Segunda parte]. Primera parte: Age Of Empires 2 Age Of Sail 2 Age Of Wonders 2 AikaQuest3Hentai AIM Account Stealer Aliens versus Predator 2 Primal Hunt Austerlitz Napoleons Greatest Victory Battle.net Black And White Borland Delphi 6 BORLAND Delphi 7 Cabelas Ultimate Deer Hunt 2 Cat Attacks Child Civilization 3 CKY3 - Bam Margera World Industries Alien Workshop Clive Barker’s Undying CloneCD Comanche 4 Combat Flight Simulator 3 Crazy Taxi Critical Point Manga game Dark Age Of Camelot Shrouded Isles Deadly Dozen DSL Modem Uncapper Duke Nukem Manhattan Project Dweebs 2 Elder Scrolls III Morrowind THX Brrbrr Emperor Rise Of the Middle Kingdom Empire Earth F1 Grand Pix 4 Free Virus Removal Tool From Symantec Freedom Force Gearhead Garage Gladiator Grand Prix 4 Grand Theft Auto 3 Gta 3 GTA 3 Gta3 Hacking Tool Collection Half Life Blue Shift Half-life ONLINE Half-life WON Hard Truck 18 Wheels of Steel Hitman 2 Silent Assassin Hoyle Card Games 2003 Industry Giant 2 International Cricket Captain 2003 Internet and Computer Speed Booster KaZaA Media Desktop v2.5 UNOFFICIAL KaZaA Spyware Remover LordOfTheRingsr Macromedia Macromedia Dreamweaver MX Macromedia Flash 5.0 Mafia Microsoft Office XP (English) MoviezChannelsInstaler MS Train Simulator MSN Password Hacker and Stealer Necromania Trap Of Darkness Need For Speed 5 Porsche Unleashed Nero Burning Rom 5.8.0.1 Neverwinter Nights Norton AntiVirus 2002 Norton Utilities 2002 Xp Prisoner Of War Quake 3 Arena Quake 4 BETA Red Ace Squadron Shakira Sims SIMS Soldier Of Fortune 2 Soldiers Of Anarchy Squad Battles Eagles Strike Star Wars II Movie Star Wars Starfighter Strike Fighter Project 1 Stronghold Crusader Sudden Strike 2 The Eye Of Kraken The Neverending Story Part I The Sun Of All Fears The Thing Tomb Raider 3 Unreal Tournament 3 Valhalla Chronicles Warcraft 3 Warcraft 3 battle.net Warcraft 3 ONLINE Windows XP Windows XP SP1 Winrar 3.2 Winzip 8.0 Xbox.Info Zidane-ScreenInstaler ZoneAlarm Firewall Segunda parte: Crack.exe Full Downloader.exe ISO - Crack.exe ISO - Full Downloader.exe ISO - Key Generator.exe ISO - Patch.exe Key Generator.exe Patch.exe Ejemplos: Warcraft 3 ONLINE Full Downloader.exe Winzip 8.0 ISO - Full Downloader.exe Xbox.Info Crack.exe Unreal Tournament 3 Patch.Exe Estos mismos archivos son copiados en la carpeta "c:\windows\Drivers". Luego modifica la carpeta por defecto del KaZaa para apuntar a esta última carpeta: HKEY_LOCAL_MACHINE\Software\Kazaa\LocalContent Dir2 = 012345:c:\windows\Drivers Además modifica la carpeta por defecto de la utilidad Shareaza para que apunte a "C:\My Downloads\". De ese modo tanto los usuarios de KaZaa como de Shareaza, se infectarán si descargan y ejecutan algunos de esos archivos. El gusano también crea las siguientes entradas en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [nombre al azar] = c:\windows\[nombre al azar].exe HKEY_LOCAL_MACHINE\SOFTWARE\[nombre al azar] Donde [nombre al azar] es igual a la clave anterior (en "Run"). Dentro se agregan otras claves con la cantidad de mensajes infectados enviados hasta el momento, etc. (estas claves se van modificando). El gusano puede finalizar todos los procesos que contengan algunos de estas cadenas en su nombre (corresponden a conocidos antivirus y cortafuegos): _avp32 _avpcc _avpm Ackwin32 Advxdwin Agentw.Exe Alertsvc Alogserv Amon9x Anti-Trojan Ants Apvxdwin Atcon Atupdater Atwatch Autodown Avconsol Avgcc32 Avgctrl Avgserv Avgserv9 Avgw Avkpop Avkserv Avkservice Avkwctl9 Avp C Avp32 Avpcc Avpm Avpm.Exe Avsched32 Avsynmgr Avwinnt Avxmonitor9x Avxmonitornt Avxquar Avxquar.Exe Avxw Blackd Blackice C.Exe Ccapp.Exe Ccevtmgr Ccevtmgr.Exe Ccpxysvc.Exe Cdp Cdp.Exe Cfgwiz Claw95 Claw95c Cleaner Cleaner3 Cmgrdian Connectionmonitor Cpd Cpd At Cpdclnt Cpdclnt.Exe Ctrl Ctrl.Exe Defalert Defscangui Defwatch Doors H Doors.Exe Dvp95 Dvp95_0 Efpeadm Efpeadm.Exe Etrustcipe Etrustcipe.Exe Evpn.Exe Expert F-Agnt95 Fameh32 Fch32 Fih32 Fnrb32 F-Prot F-Prot95 Fp-Win Frw Erv Fsaa Fsav32 Fsgk32 Fsgk32.Exe Fsma32 Fsmb32 F-Stopw Gbmenu Gbpoll Generics Guard Iamapp Iamserv Iamserv Iamstats Icload95 Icloadnt Icmon Icsupp95 Icsuppnt Iface Iomon98 Isrv95 Itor Jedi Ldnetmon Ldpromenu Ldscan Lockdown Lockdown2000 Luall Lucomserver Luspt Mcagent Mcmnhdlr Mctool Mcupdate Mcvsrte Mcvsshld Mgavrtcl Mgavrte Mghtml Minilog Monitor Moolive Mpfagent.Exe Mpfservice Mpftray.Exe Mwatch Nav Auto-Protect Navap Navapsvc Navapw32 Navengnavex15 Navlu32 Navw32 Navwnt Ndd32 Neowatchlog Netutils Nisserv Nisum Nmain Normist Notst Art Nprotect Nprotect.Exe Npssvc Nsched32 Ntrtscan Ntvdm Ntxconfig Nui An Nupgrade Nvc95 T Nvsvc32 Nwservice Nwtool16 Padmin Pavproxy Pcciomon Pccntmon Pccwin97 Pccwin98 Pcscan Persfw Perswf Pop3trap Poproxy Portmonitor Processmonitor Programauditor Pview95 P-Win.Exe R.Exe Rav7 Rav7win Realmon Rescue Rtvscn95 Rulaunch Sbserv Scan32 Scrscan Smc Sphinx Spyxx Ss3edit Sweep95 Sweepnet Sweepsrv.Sys Swnetsup Symproxysvc H1 Symtray Taumon Tc Tca Tcm Tds-3 Di Tfak Vbcmserv Vbcons Vet32 Vet95 Vettray Vir-Help Vpc32 Vptray Vsched Vsecomr Vshwin32 Vsmain Vsmon Vsstat Watchdog Webscanx Webtrap Wgfe95 Wimmun32 Wradmin Wradmin.Exe Wrctrl Zapro Zonealarm Finalmente el gusano puede infectar archivos ejecutables de Windows, agregando su código al principio de los mismos. Los archivos infectados aumentarán su tamaño en unos 48 Kb. aprox. * Reparación manual Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Repare o borre los archivos detectados como infectados * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: [nombre al azar] 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \[nombre al azar] 5. Pinche en la carpeta "[nombre al azar]" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1081 Año 7, Lunes 23 de junio de 2003