Mostrando mensaje 1338     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No 2286 Año 10, viernes 3 de noviembre de 2006 Fecha: 3 de Noviembre, 2006  06:54:26 (+0100) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No 2286 Año 10, viernes 3 de noviembre de 2006 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Vulnerabilidad crítica en Visual Studio 2005 2 - Nuwar.NAA. Desactiva antivirus y cortafuegos 3 - Semail.NAA. Baja los niveles de seguridad del IE 4 - KillAV.NBE. Finaliza antivirus y firewalls _____________________________________________________________ 1 - Vulnerabilidad crítica en Visual Studio 2005 _____________________________________________________________ http://www.vsantivirus.com/vul-vs2005-311006.htm Vulnerabilidad crítica en Visual Studio 2005 Por Angela Ruiz angela@videosoft.net.uy Se ha anunciado una nueva vulnerabilidad del tipo Zero day, relacionada con Visual Studio 2005, y según Secunia, activamente explotada al momento actual. Sin embargo, con la información actualmente disponible, podemos decir que el riesgo para usuarios domésticos es mínimo. En un reciente aviso de seguridad, Microsoft confirmó haber sido alertado de la aparición de un código del tipo prueba de concepto (PoC), que podría ser utilizado como exploit en una debilidad relacionada con un control ActiveX que afecta ciertas configuraciones de Windows. Aunque los detalles sobre el exploit no han sido revelados, según Microsoft el mismo atacaría una vulnerabilidad específicamente detectada en "WmiScriptUtils.dll", una biblioteca de Windows relacionada con Visual Studio 2005. Según la información, un script con una llamada al objeto ActiveX "WMI Object Broker control", incluido en dicho DLL, afectaría algunas instalaciones con Internet Explorer (incluido el IE7), permitiendo la ejecución remota de código. Quienes ejecuten Visual Studio 2005 en Windows Server 2003 y Windows Server 2003 Service Pack 1 con sus configuraciones por defecto, que incluye la Configuración de Seguridad Avanzada activada (Enhanced Security Configuration), no son afectados. Si estos usuarios utilizan Internet Explorer 7, pueden estar en riesgo al visitar un sitio malicioso, solo si activan la característica "ActiveX Opt-in" en la Zona de Internet (o sea, si habilitan el "contenido activo" en esta zona, que en el IE7 viene desactivado por defecto). Usuarios con Internet Explorer 6, están en peligro con la configuración estándar (el IE6 por defecto tiene habilitado el "contenido activo" para la Zona de Internet). WMI (Windows Management Instrumentation), es un conjunto de servicios de Windows que permiten realizar consultas sobre información genérica del sistema, aplicaciones y eventos, las que pueden ser accedidas por programas externos. La biblioteca de enlace afectada no corresponde al WMI propiamente dicho, sino a una serie de funciones que facilitan el acceso de la información aportada a scripts realizados dentro de Visual Studio. El control "WMI Object Broker" es utilizado por el asistente de ayuda de WMI en Visual Studio 2005. Muchos sistemas Windows tienen WMI instalado, especialmente en sitios de trabajo donde esto permite que los administradores puedan llevar a cabo un monitoreo del sistema. Sin embargo, solamente los sistemas de desarrollo que utilizan WMI, tendrán este archivo en particular, lo que reduce significativamente el número de computadoras en las cuales el exploit puede ser eficaz. Visual Studio 2005 proporciona una variedad de herramientas para la creación de sitios Web y aplicaciones para Windows. * Solución: Si usted no tiene instalado Visual Studio 2005, y su computadora no está en un entorno corporativo que tenga habilitado el Windows Management Instrumentation (WMI) para un monitoreo del sistema, no existe ningún peligro por la acción de este exploit. Si usted utiliza Visual Studio 2005 y WMI, puede eludir el riesgo de ser atacado, si aplica el kill-bit a la CLSID correspondiente, tal como se explica en Microsoft Security Advisory 927709 ("Suggested Actions", "Workarounds", "Prevent the WMI Scripting control from running in Internet Explorer"). * Más información: Microsoft Security Advisory (927709) Vulnerability in Visual Studio 2005 Could Allow Remote Code Execution www.microsoft.com/technet/security/advisory/927709.mspx CVE-2006-4704 www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4704 Microsoft Visual Studio 2005 WMI Object Broker Remote Code Execution Vulnerability http://www.securityfocus.com/bid/20843 Microsoft Visual Studio WMI Object Broker ActiveX Control Code Execution http://secunia.com/advisories/22603 * Glosario: Un exploit Zero day (Día cero), se refiere aquí a un código malicioso que afecta una vulnerabilidad a la seguridad que no ha sido mitigada por un parche del vendedor. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Nuwar.NAA. Desactiva antivirus y cortafuegos _____________________________________________________________ http://www.vsantivirus.com/nuwar-naa.htm Nombre: Nuwar.NAA Nombre NOD32: Win32/Nuwar.NAA Tipo: Gusano Alias: Nuwar.NAA, Embedded.Trojan-Downloader.Win32.Small.ciw, GenPack:Trojan.Downloader.Tibs.GZ, TR/Crypt.F.Gen, W32/NetworkWorm, W32/Nuwar.A.worm, Win32/Mixor!Worm, Win32/Nuwar.NAA Fecha: 2/nov/06 Plataforma: Windows 32-bit Tamaño: 15,947 bytes Gusano capaz de finalizar procesos relacionados con antivirus y cortafuegos entre otros. También puede auto actualizarse a si mismo. Es capaz de propagarse a través de conexiones activas de red, y vía correo electrónico, enviándose como adjunto a direcciones recolectadas en el equipo infectado. Puede llegar a nuestro PC en un mensaje electrónico con las siguientes características: De: [una de las siguientes direcciones falsas] abierman @ cisco .com admin @ rarbrazil .com agentx @ dorothy .bmc .com arrowcomp @ xtra .co .nz bwijnen @ lucent .com case @ snmp .com coders @ lists daniele @ zk3 .dec .com dbh @ enterasys .com dev @ ethereal .com dev @ ethereal .com dhaskin @ baynetworks .com disman @ dorothy .bmc .com dlevi @ nortelnetworks .com dthaler @ dthaler .microsoft .com ellison @ world .std .com estan @ net .utcluj .ro fred @ cisco .com freed @ innosoft .com help @ winzip .com hostmib @ andrew .cmu .edu hreissl @ compuserve .com hsseo @ buysoft .co .kr hubmib @ hprnd .rose .hp .com iana @ iana .org info @ avir .sk info @ italsel .com info @ rarsoft .be info @ winrar-rog .com infoservice @ microsoft .at inftec @ colomsat .net .co jeff @ redbacknetworks .com jimaz @ jimaz .cz johnf @ rose .hp .com kzm @ cisco .com lheintz @ cisco .com licensing @ sysinternals .com line @ microsoft .hr mark @ sysinternals .com mcafeapc @ col3 .telecom .com .co mcopray @ compuserve .com meyer @ securecomputing .com mibs @ ops .ietf .org mscarsup @ microsoft .com msccatus @ microsoft .com mssupport @ nets .net .pk mswsgulf @ microsoft .com mundy @ tislabs .com naradamoon @ operamail .com neox @ pisem .net password @ server links pnpwin95 @ supra .com presuhn @ bmc .com provision @ pro .ro ramk @ cisco .com rar @ ols .es regsite @ skulski .com rfrye @ cosinecom .com rkinput @ microsoft .com robbykang @ jsresource .com rod @ st .net .au rom @ innocent .com rpresuhn @ bmc .com sales @ defsol .se sales @ keszo .com sales @ panda .co .jp sales @ rarreg .com sales @ tfmik .ru sam @ rarsoft .com .tw sar @ epilogue .com schoenw @ ibr .cs .tu sgudur @ hotmail .com sitesales @ winzip .com sitesales @ winzip .com snmpv3 @ lists .tislabs .com sonishi @ baynetworks .com support @ atitech .ca support @ rararchiver .com support @ stb .com support @ tamos .com support @ winzip .de techsupport @ matrox .com techsupport @ tridmicr .com ts @ polynet .lviv .ua users @ ethereal .com ventes @ adc-soft .com vjohnie @ debian .org vmlich @ mbox .vol .cz waldbusser @ ins .com waldbusser @ lucent .com webmaster @ acon .com .au winrar @ rog .de Asunto: [uno de los siguientes] ATTN ATTN TO EVERYBODY! Incredible news! NEWS READ AND RESEND ASAP URG URGENT NEWS White house news! Texto del mensaje: [uno de los siguientes] 3rd Glogal War Just Started!!! Read more in file! GLOBAL NUCLEAR WAR JUST STARTED! News in file. Nuclear War in Russia! Read news in file! Nuclear WAR in USA! Read attached file! President Bush DEAD! Read attached file! President Putin dead! Read more in attached file! Putin and Bush starts NUCLEAR WAR! Check the file! Datos adjuntos: [uno de los siguientes archivos] a.exe about me.exe last.exe latest news.exe never.exe open.exe read me.exe truth.exe war.exe Cuando se ejecuta, crea el siguiente archivo: c:\windows\system32\wservice.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). También intenta crear los siguientes archivos: TgH5omv.exe \windows\gmxjtmhf.t Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run UpdateService = "c:\windows\system32\wservice.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run UpdateService = "c:\windows\system32\wservice.exe" Modifica la siguiente entrada para desactivar el servicio Firewall de Windows y la conexión compartida a Internet (ICS): HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start = "4" Puede finalizar procesos cuyos nombres contengan algunas de las siguientes cadenas, si los mismos están activos en el sistema afectado: blackice firewall f-pro Hijack lockdown Mcafee msconfig nod32 reged Registry Editor spybot troja vsmon zonea Crea el siguiente mutex para no ejecutarse más de una vez en memoria: Kusyyyy * Reparación manual * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \SharedAccess 6. Haga clic en la carpeta "SharedAccess" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de la siguiente entrada por "2" en hexadecimal: Start = "2" 7. Cierre el editor del registro. 8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Cómo rehabilitar el servicio SharedAccess (Windows 2000 y XP): Este servicio habilita la resolución de nombres y direcciones para todos los equipos de red doméstica o pequeña oficina, y es usado para la conexión compartida a Internet, y por el firewall (cortafuego) de Windows XP. Para rehabilitar este servicio, siga estos pasos: - En Windows XP Service Pack 2: Cuando este servicio es detenido, un mensaje de atención (globo de texto) advierte que se desconoce el estado del firewall. Para rehabilitarlo, siga estos pasos: 1. Desde Inicio, Panel de control, seleccione el "Centro de seguridad". 2. Si el Firewall aparece como desactivado, haga clic en la leyenda "Firewall de Windows" (abajo) y marque la opción "Activado (recomendado)". 3. Seleccione "Aceptar", etc. - En Windows 2000, Windows XP, Windows XP SP1: 1. En Inicio, Ejecutar, escriba "services.msc" y pulse Enter. 2. En la columna "Nombre" busque "Conexión de seguridad a Internet (ICF)/Conexión compartida a Internet (ICS)" (en Windows XP), o solo "Conexión compartida a Internet (ICS)" (en Windows 2000). 3. Haga doble clic sobre ese nombre, y en "Tipo de inicio:", seleccione "Automático" 4. En la misma ventana, "Estado del servicio:", haga clic en "Iniciar" 5. Pinche en "Aceptar", etc. * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Semail.NAA. Baja los niveles de seguridad del IE _____________________________________________________________ http://www.vsantivirus.com/semail-naa.htm Nombre: Semail.NAA Nombre NOD32: Win32/Semail.NAA Tipo: Caballo de Troya Alias: Semail.NAA, Adware/Comforest, Email- Worm.Win32.Delf.ab, I-Worm/Delf.AW, Trojan.Delf-294, Trojan.DownLoader.14614, Trojan.Spy.Agent.ON, W32/EmailWorm.E, Win32/Semail.NAA, Win32:Delf-CBG, Worm.Delf.ab Fecha: 2/nov/06 Plataforma: Windows 32-bit Tamaño: 60,784 bytes (PECRYPT, UPX) Pone en peligro el equipo infectado, al bajar el nivel de la configuración de seguridad del Internet Explorer para permitir el acceso a determinados sitios de Internet. También intenta modificar la configuración de acceso telefónico del usuario, para discar silenciosamente a un número determinado indicado en su código, sin que la víctima se percate de la conexión. Cuando se ejecuta, este troyano se copia con diferentes nombres en el escritorio y otras carpetas del usuario. Modifica la página de inicio del Internet Explorer, y cambia la configuración de seguridad en la clave del registro "HKCU \Software \Microsoft \Windows \CurrentVersion \Internet Settings \ZoneMap \Domains", para los siguientes sitios de Internet: ciritorno .biz melagodo .biz nanobyte .biz nanobyte .biz pergentina .biz playmore .biz popup-freesex-adv .biz ricercadoppia .com super-videochat-community .biz umts-gprs-mondo-telefonino-cellulare .biz También cambia la configuración de seguridad para la Zona de "Sitios de confianza" de Internet: HKCU\Software\Microsoft\Windows \CurrentVersion\Internet Settings\Zones\2 1004 = "0" 1201 = "0" MinLevel = "0" RecommendedLevel = "0" * Reparación manual IMPORTANTE: Compruebe la configuración de todas sus Accesos telefónicos a redes en Mi PC (Windows 95, 98), o en Panel de control (Windows Me). En Windows XP, bajo el ítem Conexiones de red del Panel de control. Si fuera necesario, elimine el número telefónico no deseado, o elimine el Acceso telefónico y vuelva a crearlo. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Internet Settings \ZoneMap \Domains 3. Haga clic en la carpeta "Domains" y borre las siguientes subcarpetas: \ciritorno.biz \melagodo.biz \nanobyte.biz \pergentina.biz \playmore.biz \popup-freesex-adv.biz \ricercadoppia.com \super-videochat-community.biz \umts-gprs-mondo-telefonino-cellulare.biz 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Internet Settings \Zones \2 5. Haga clic en la carpeta "2", y en el panel de la derecha, busque y cambie los siguientes valores por los aquí indicados: 1004 = "1" 1201 = "1" MinLevel = "10000" RecommendedLevel = "10000" 6. Cierre el editor del registro. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar la configuración por defecto del Internet Explorer: 1. Seleccione Herramientas, Opciones de Internet en el IE. 2. Seleccione la lengüeta "Programas". 3. Haga clic en "Restablecer configuración Web..." 4. Haga clic en "Aceptar". * Restaurar "Zonas de seguridad" al nivel predeterminado. 1. Seleccione en el Panel de control, el icono "Opciones de Internet". 2. Pinche en la lengüeta "Seguridad", y luego en "Internet". 3. Haga clic en el botón "Nivel predeterminado", y luego en el botón "Aplicar" 4. Reitere el paso "3" en "Intranet local", "Sitios de confianza" y "Sitios restringidos". 5. Haga clic en "Aceptar". NOTA: Se recomienda luego, configurar el Internet Explorer como se explica en el siguiente artículo: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual". * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - KillAV.NBE. Finaliza antivirus y firewalls _____________________________________________________________ http://www.vsantivirus.com/killav-nbe.htm Nombre: KillAV.NBE Nombre NOD32: Win32/KillAV.NBE Tipo: Caballo de Troya Alias: KillAV.NBE, BackDoor.Generic.1464, Generic.Malware.SP!Dsp.648EEA7E, IM-Worm.Win32.Qucan.h, Win32/KillAV.NBE, Win32:Qucan Fecha: 2/oct/06 Actualizado: 2/nov/06 Plataforma: Windows 32-bit Tamaño: 10,752 (UPX) Caballo de Troya capaz de finalizar los procesos de conocidos antivirus y cortafuegos. Un sistema infectado por este troyano, podría ser atacado por cualquier otro código malicioso, ya que no tendría protección. El troyano también intenta conectarse a Internet, para descargar otros archivos, incluido una actualización de si mismo. Cuando se ejecuta, puede crear los siguientes archivos en el sistema: bkav2006.exe host.exe host2.exe svhost.exe svhost32.exe Crea una entrada en el registro de Windows, para autoejecutarse en cada reinicio. El troyano se ejecuta como un servicio, por lo que en Windows 9x y ME, no es mostrado en el administrador de tareas (al pulsar CTRL+SUPR). Mientras se ejecuta, intenta desactivar antivirus y otras aplicaciones de seguridad que se estén ejecutando en el sistema infectado, de acuerdo a la siguiente lista: Anti-Trojan.exe ANTS.exe apvxdwin.exe ATCON.exe ATUPDATER.exe ATWATCH.exe AUPDATE.exe AUTODOWN.exe AUTOTRACE.exe AUTOUPDATE.exe Avconsol.exe AVP.exe AVP32.exe avpcc.exe avpm.exe AVPUPD.exe Avsynmgr.exe AVWUPD32.exe AVXQUAR.exe bdmcon.exe bdoesrv.exe bdss.exe CMGrdian.exe drwebupw.exe GUARD.exe iamapp.exe iamserv.exe ICLOAD95.exe ICLOADNT.exe ICMON.exe ICSSUPPNT.exe ICSUPP95.exe ICSUPPNT.exe LUCOMSERVER.exe MCAGENT.exe mcupdate.exe MINILOG.exe MOOLIVE.exe NAVAPW32.exe NMAIN.exe NPROTECT.exe NSCHED32.exe NUPGRADE.exe regedit.exe regedt32.exe RuLaunch.exe Vshwin32.exe VsStat.exe zatutor.exe zonealarm.exe El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P. Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios. Otros troyanos también pueden descargarlo y ejecutarlo en el sistema. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. Cierre el editor del registro. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Mantenga actualizado su programa antivirus. De poco vale tener un antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. De todos modos, hoy en día las actualizaciones de la mayoría de los fabricantes son diarias y automáticas. Si tiene un producto que no se actualiza automáticamente, piense seriamente en cambiarlo. 2) No abra ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Tampoco haga clic en enlaces sugeridos en aquellos correos o mensajes instantáneos que no solicitó. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Manténgase informado de cómo operan los virus, y de las novedades sobre éstos, alertas y anuncios críticos, en sitios como el nuestro. 4) No descargue nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceda como con los archivos adjuntos. Cópielos a una carpeta y revíselos con su antivirus debidamente actualizado, antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No 2286 Año 10, viernes 3 de noviembre de 2006