Mostrando mensaje 1367     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No 2315 Año 10, jueves 7 de diciembre de 2 006 Fecha: Jueves, 7 de Diciembre, 2006  05:23:36 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No 2315 Año 10, jueves 7 de diciembre de 2006 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Elevación de privilegios en drivers de redes de Intel 2 - PSW.LdPinch.BEX. Roba información, abre backdoor 3 - Stration.SV. Gusano y troyano que descarga archivos 4 - PSW.Maran.AU. Roba contraseñas y otra información 5 - Quatim.W. Se propaga por mensajería instantánea _____________________________________________________________ 1 - Elevación de privilegios en drivers de redes de Intel _____________________________________________________________ http://www.vsantivirus.com/vul-intel-lan-051206.htm Elevación de privilegios en drivers de redes de Intel Por Wilson Salazar fasalar@videosoft.net.uy INTEL acaba de publicar en su sitio de Internet una serie de actualizaciones que corrigen la vulnerabilidad encontrada en los drivers de sus tarjetas LAN. Tal como fue publicado en su página, la vulnerabilidad existe en todos los driver de los adaptadores de red PCI, PCI-X y PCIe. La misma permite la ejecución de código y la elevación de los privilegios locales en el sistema afectado. La vulnerabilidad es causada por un error no especificado que puede provocar un desbordamiento de búfer si es explotado satisfactoriamente mediante la utilización incorrecta de llamadas a ciertas funciones. Los productos afectados con sus respectivos sistemas operativos y drivers son los que se relacionan a continuación: - Intel PRO 10/100 Adaptadores en Windows 2000 y posteriores y con drivers versión 8.0.27.0 o anteriores. - Intel PRO/1000 Adaptadores en Windows 2000 y posteriores y con drivers 8.7.1.0 o anteriores. - Intel PRO/1000 PCIe Adaptadores en Windows 2000 y posteriores y con drivers 9.1.30.0 o anteriores. - Intel PRO 10/100 Adaptadores en Linux y con drivers 3.5.14 o anteriores. - Intel PRO/1000 Adaptadores en Linux y con drivers 7.2.7 o anteriores. - Intel PRO/10GbE Adaptadores en Linux y con drivers 1.0.109 o anteriores. - Intel PRO 10/100 Adaptadores en UnixWare/SCO6 y con drivers 4.0.3 o anteriores. - Intel PRO/1000 Adaptadores en UnixWare/SCO6 y con drivers 9.0.15 o anteriores. Intel recomienda que si alguien tiene un Adaptador de Red instalado en su sistema, puede verse afectado. Los pasos para identificar el tipo de Adaptador y la versión de drivers se encuentran en el sitio: http://support.intel.com/support/network/sb/CS-023453.htm * Actualizaciones Para corregir esta vulnerabilidad, Intel puso a disposición de sus usuarios las actualizaciones respectivas, las cuales pueden ser descargadas desde las siguientes direcciones, dependiendo del tipo de adaptador: 10/100: http://support.intel.com/support/network/sb/cs-006103.htm Gigabit: http://support.intel.com/support/network/sb/cs-006120.htm 10 Gigabit: http://support.intel.com/support/network/adapter/pro100/sb/cs-008402.htm * Más información Intel LAN Driver Buffer Overflow Local Privilege Escalation http://www.intel.com/support/network/sb/CS-023726.htm Intel LAN Driver Unspecified Privilege Escalation Vulnerability http://secunia.com/advisories/23221/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - PSW.LdPinch.BEX. Roba información, abre backdoor _____________________________________________________________ http://www.vsantivirus.com/psw-ldpinch-bex.htm Nombre: PSW.LdPinch.BEX Nombre NOD32: Win32/PSW.LdPinch.BEX Tipo: Caballo de Troya de acceso remoto Alias: LdPinch.BEX, DR/MicroJoiner.Gen, LdPinch.FLJ, MalwareScope.Trojan-PSW.PdPinch.5, MemScan:Trojan.PWS.LdPinch.Z, PSW.Ldpinch.CRV, TR/PSW.LdPinch.bex, Trj/Ldpinch.VD, Trojan.LdPinch.aze, Trojan.LdPinch.bex, Trojan.MulDrop.4659, Trojan.PSW.Win32.LdPinch.384C, Trojan.PWS.LDPinch.1342, Trojan.PWS.LdPinch.Z, Trojan.SystemPoser, Trojan/PSW.LdPinch.aze, Trojan/Worm, TrojanPSW.LdPinch.aze, Trojan-PSW.Win32.LdPinch.aze, Trojan-PSW.Win32.LdPinch.bex, W32/LdPinch.AZE!tr.pws, W32/LdPinch.BEX!tr.pws, Win32/Ldpinch, Win32/MicroJoiner!generic, Win32/PSW.LdPinch.BEX, Win32:Joiner-H Fecha: 5/dic/06 Actualizado: 6/dic/06 Plataforma: Windows 32-bit Tamaño: varios (274,337 bytes, 33,760 bytes, etc.) Se trata de un troyano de múltiples componentes, que permite a un atacante el acceso no autorizado al equipo infectado. Puede obtener información confidencial, como por ejemplo contraseñas. Posee capacidad de abrir una puerta trasera (backdoor), e instalar un proxy o un servidor. Modifica el archivo HOSTS para evitar el acceso del usuario a determinados sitios, entre ellos páginas de actualizaciones de diversos antivirus y otros sitios relacionados con la seguridad. Los diversos componentes de este troyano, incluyen un DROPPER (el archivo que libera al troyano), un DLL y el troyano propiamente dicho. El DLL es registrado como un servicio del sistema, y en algunos casos libera y ejecuta al ejecutable del troyano cada vez que el servicio es cargado en memoria. NOTA: Una variante de esta versión del troyano adquirió notoriedad al haber sido distribuida como un crack ilegal de Windows Vista en un archivo con el siguiente nombre: Windows_Vista_All_Versions_Activa.exe Los archivos que el troyano puede crear en el sistema son los siguientes (no todos ellos serán creados): c:\windows\crss.exe c:\windows\csrss.exe c:\windows\mcsys.dll c:\windows\ssmc.dll c:\windows\winhost.exe c:\windows\system32\crss.exe c:\windows\system32\csrss.exe c:\windows\system32\mcsys.dll c:\windows\system32\smss.exe c:\windows\system32\ssmc.dll c:\windows\system32\winhost.exe NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). Puede enviar notificaciones a determinados sitios de Internet, esto incluye dirección IP, nombre de la máquina, puertos abiertos por el troyano en su componente backdoor, etc. Algunos de los dominios utilizados, son los siguientes: chameleonexpo.com.au nokianosa.org shootoutflorida.com webnomey.net xoce.name La información robada del sistema, también puede ser enviada por correo electrónico al atacante remoto, a direcciones con los siguientes dominios: @gamil.com @gmail.com @international-sales.net @nokianosa.org @webnomey.net El troyano suele buscar información crítica (nombres de usuario, contraseñas, perfiles, etc.), relacionada con las siguientes aplicaciones o sistemas: &RQ IM AOL Instant Messenger Becky2 Cute FTP, Cute FTP Pro Ghisler Products (Windows Commander, Total Commander) ICQ Miranda IM Mozilla Opera Outlook and Outlook Express POP3 and IMAP The Bat email client Trillian WS_Ftp, WS_Ftp Home También busca contraseñas del Outlook, Outlook Express, y datos agregados a formularios de páginas Web (ingreso a bancos, webmail, etc.). Puede descargar un archivo de Internet conteniendo una lista de acciones que el troyano luego ejecutará en el equipo infectado. Dicha lista suele copiarse en la carpeta de temporales de Windows con el siguiente nombre: \TEMP\cmd.txt NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. Algunas de las acciones posibles: - Abrir determinadas páginas de Internet - Abrir una interfase de línea de comandos remota - Agregar enlaces en los Favoritos del usuario - Descargar archivos - Desinstalar al propio troyano - Ejecutar archivos - Escanear puertos en determinado rango IP - Iniciar un servidor FTP - Iniciar un servidor proxy - Listar o eliminar procesos - Mostrar ventanas emergentes con mensajes - Reiniciar la computadora El troyano también puede modificar el archivo HOSTS, usado por Windows para asociar nombres de dominio con direcciones IP. Si este archivo existe en c:\windows\ (Windows 95, 98 y Me), o en \system32\drivers\etc\ (Windows NT, 2000 y XP), el sistema lo examina antes de hacer una consulta a un servidor DNS. El troyano puede crear su propio archivo HOSTS, para que el usuario no pueda acceder a sitios como los siguientes: ar .atwola .com atdmt .com avp .com avp .ch avp .ru awaps .net ca .com customer .symantec .com dispatch .mcafee .com download .mcafee .com download .microsoft .com downloads .microsoft .com downloads1 .kaspersky-labs .com downloads2 .kaspersky-labs .com downloads3 .kaspersky-labs .com downloads4 .kaspersky-labs .com engine .awaps .net fastclick .net f-secure .com ftp .f-secure .com ftp .sophos .com ftp:://downloads1 .kaspersky-labs .com/updates/ ftp:://ftp .avp .ch/updates/ ftp:://ftp .kasperskylab .ru/updates/ ftp:://updates3 .kaspersky-labs .com/updates/ go .microsoft .com http:://downloads1 .kaspersky-labs .com/updates/ http:://updates1 .kaspersky-labs .com/updates/ http:://updates2 .kaspersky-labs .com/updates/ http:://updates3 .kaspersky-labs .com/updates/ http:://updates4 .kaspersky-labs .com/updates/ http:://updates5 .kaspersky-labs .com/updates/ http:://www .kaspersky .ru/updates/ http:://www .kaspersky-labs .com/updates/ ids .kaspersky-labs .com kaspersky .com kaspersky-labs .com liveupdate .symantec .com liveupdate .symantecliveupdate .com mast .mcafee .com mcafee .com media .fastclick .net msdn .microsoft .com my-etrust .com nai .com networkassociates .com office .microsoft .com phx .corporate-ir .net rads .mcafee .com secure .nai .com securityresponse .symantec .com service1 .symantec .com sophos .com spd .atdmt .com support .microsoft .com symantec .com trendmicro .com update .symantec .com updates .symantec .com us .mcafee .com vil .nai .com viruslist .com viruslist .ru windowsupdate .microsoft .com www .avp .com www .avp .ch www .avp .ru www .awaps .net www .ca .com www .fastclick .net www .f-secure .com www .grisoft .com www .kaspersky .com www .kaspersky .ru www .mcafee .com www .my-etrust .com www .nai .com www .networkassociates .com www .sophos .com www .symantec .com www .trendmicro .com www .viruslist .com www3 .ca .com Durante su ejecución, también puede finalizar procesos activos relacionados con los siguientes servicios: APVDWIN.exe Avp32.exe avpcc.exe AVWUpSrv cmd.exe command.com iamapp.exe kavsvc navpw32.exe NOD32krn NOD32KRN.exe NOD32KUI.exe NPFMntor outpostfirewall PAVSRV51.exe PccPfw.exe PTstartmon.exe SNDSrvc TroyanFindInfo.exe VSMON.exe WEBPROXY.exe ZAPRO.exe * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Ole 3. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \System \CurrentControlSet \Control \Lsa 7. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Ole 9. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 11. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 13. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \Lsa 15. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 16. Cierre el editor del registro. 17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. 6. Reinicie su computadora. * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Stration.SV. Gusano y troyano que descarga archivos _____________________________________________________________ http://www.vsantivirus.com/stration-sv.htm Nombre: Stration.SV Nombre NOD32: Win32/Stration.SV Tipo: Gusano de Internet y caballo de Troya Alias: Stration.SV, Email-Worm.Win32.Warezov.fb, Email- Worm.Win32.Warezov.gen, I-Worm/Stration, TR/Dldr.Stration.Gen, Trojan.Opnis.Gen.36, Trojan/Worm, TrojanDropper:Win32/Stration.C, W32/Stratio-CG, W32/Stration.CPR, W32/Stration.DS@mm, W32/Stration.gen.dldr, W32/Warezov.gen4, Win32.HLLM.Limar.based, Win32/Stration!generic, Win32/Stration.6wm!Worm, Win32/Stration.SV, Win32:Warezov-QR, Worm.Stration.WZ Fecha: 5/dic/06 Actualizado: 6/dic/06 Plataforma: Windows 32-bit Tamaño: 42,698 bytes (UPX) Gusano de Internet que se propaga por correo electrónico, enviándose como adjunto en un mensaje a toda la lista de direcciones obtenidas en diferentes archivos de la máquina infectada. También posee la capacidad de descargar y ejecutar otros componentes de Internet. Intenta deshabilitar algunos servicios relacionados con aplicaciones de seguridad. Al ejecutarse, puede crear alguno de los siguientes archivos: c:\windows\system32\[nombre al azar 1].dll c:\windows\system32\[nombre al azar 2].dll c:\windows\system32\[nombre al azar 3].exe Donde [nombre al azar] pueden ser algunos de los siguientes (entre otros): atcvexgzi emld76 NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). Crea las siguientes entradas en el registro del sistema: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [nombre al azar 3] = "c:\windows\[nombre al azar 3].exe s" HKLM\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Windows AppInit_DLLs = "[nombre al azar 1].dll [nombre al azar 2].dll" HKLM\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Winlogon\Notify\[variable] Intenta eliminar o detener las siguientes aplicaciones de seguridad: MpfService OutpostFirewall SharedAccess SmcService Symantec Core LC vsmon WinRoute También actúa sobre el siguiente proceso, correspondiente al "Centro de Seguridad de Windows": wscsvc Para propagarse como gusano, utiliza mensajes con las siguientes características: De: [dirección falsa] Para: [dirección al azar] NOTA: El gusano, busca direcciones en archivos con las siguientes extensiones: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .html .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml Asunto: [uno de los siguientes] Error Good day hello Mail Delivery System Mail Transaction Failed Mail server report picture Server Report Status Texto del mensaje: [uno de los siguientes] Mail transaction failed. Partial message is available. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The message contains Unicode characters [and has been sent as a binary attachment. También puede utilizar el siguiente texto: Mail server report. Our firewall determined the e-mails containing worm copies are being sent from your computer. Nowadays it happens from many computers, because this is a new virus type (Network Worms). Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses Please install updates for worm elimination and your computer restoring. Best regards, Customers support service Datos adjuntos: [uno de los siguientes] data.[ext 1].[ext 2] body.[ext 1].[ext 2] data.[ext 1].[ext 2] doc.[ext 1].[ext 2] docs.[ext 1].[ext 2] document.[ext 1].[ext 2] file.[ext 1].[ext 2] message.[ext 1].[ext 2] readme.[ext 1].[ext 2] test.[ext 1].[ext 2] text.[ext 1].[ext 2] Update-KB????-x86.exe Donde "????" son números al azar. [Ext 1] puede ser una de las siguientes extensiones: .dat .elm .log .msg .txt [Ext 2] es una de las siguientes extensiones: .bat .cmd .exe .pif .scr En ocasiones, entre [ext 1] y [ext 2] pueden existir varios espacios en blanco. Puede agregar entradas al archivo HOSTS de Windows, para impedir el acceso a determinados sitios relacionados con programas de seguridad. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Windows 5. Haga clic en la carpeta "Windows" y en el panel de la derecha, busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus" en la entrada "AppInit_DLLs". 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon \Notify 7. Haga clic en la carpeta "Notify" y busque y borre todas las subcarpetas con nombres relacionados con los archivos detectados en el punto 3 del ítem "Antivirus". 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \Session Manager \PendingFileRenameOperations 9. Haga clic en la carpeta "PendingFileRenameOperations" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 10. Cierre el editor del registro. 11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. 6. Reinicie su computadora. * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - PSW.Maran.AU. Roba contraseñas y otra información _____________________________________________________________ http://www.vsantivirus.com/psw-maran-au.htm Nombre: PSW.Maran.AU Nombre NOD32: Win32/PSW.Maran.AU Tipo: Caballo de Troya Alias: PSW.Maran.AU, , PSW.Generic2.TZH, TR/Agent.63902.B, Trojan.Lineage.ajf, Trojan.PWS.Lineage, Trojan- PSW.Win32.Maran.au, Win32/PSW.Maran.AU, Win32:Lineage-406 Fecha: 6/dic/06 Actualizado: 6/nov/06 Tamaño: 34,816 bytes Troyano del tipo PSW (abreviatura de password o contraseña), capaz de obtener información del usuario y del equipo infectado. Ello incluye contraseñas, nombres de usuario, y cualquier información confidencial que la víctima haya ingresado en cualquier página o documento a través del teclado. El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P. Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios. Otros malwares también podrían descargarlo y ejecutarlo en un sistema infectado. Al ejecutarse, el troyano busca la presencia de una ventana oculta que él mismo crea (si se ejecutó antes). Si detecta dicha ventana, no hará absolutamente nada más. Si dicha ventana oculta existe, entonces examina la existencia de una entrada en la clave del registro HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run. Si no existe, se copia en el sistema: c:\windows\system32\[nombre].exe Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [nombre] = "c:\windows\system32\[nombre].exe" Cambia la página de inicio del Internet Explorer por "about:blank" El troyano intenta borrar también las siguientes entradas del registro: \Software\Microsoft\Windows\CurrentVersion \Policies\Network\HideSharePwds \Software\Microsoft\Windows\CurrentVersion \Policies\Network\DisablePwdCaching \.DEFAULT\Software\Microsoft\Windows \CurrentVersion\Policies\Network\HideSharePwds \.DEFAULT\Software\Microsoft\Windows \CurrentVersion\Policies\Network\DisablePwdCaching El troyano crea una ventana oculta y permanece residente en memoria. Captura información del equipo infectado (contraseñas de accesos remotos discados, caché de contraseñas de Windows, nombre del host, nombre de usuario y dirección IP), y cada cierta cantidad de tiempo o cuando detecta una conexión a Internet, envía dicha información a un usuario remoto vía correo electrónico. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. Cierre el editor del registro. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual". * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Quatim.W. Se propaga por mensajería instantánea _____________________________________________________________ http://www.vsantivirus.com/quatim-w.htm Nombre: Quatim.W Nombre NOD32: Win32/Quatim.W Tipo: Gusano de Internet Alias: Quatim.W, Win32/Quatim.W Fecha: 6/dic/06 Plataforma: Windows 32-bit Tamaño: 180,125 bytes (UPX) Gusano que se propaga a través de programas de mensajería instantánea como AOL Instant Messenger, Windows Live Messenger, Windows Messenger y Yahoo Messenger, enviando mensajes como los siguientes a todas las listas de contacto del usuario infectado: A new dangerous computer virus that can destroys all your data has just been released . Click here to know how to avoid it : [enlace] << Cac ban co the tranh bi nhiem cac loai virus online gan day bang cach update Windows . Vao day de biet cach Update Win ma ko can ban quyen Windows xin: [enlace] cool girls : [enlace] :x:x:x:x:x check this link for me : [enlace] . Why I cannot surf this site ??? damn, she is so cute :x [enlace] :x:x:x:x:x di'nh virus ru`i =)) du`ng cai nay ma diet na`y : [enlace] Download free MP3s : [enlace] << ha'i dek chiu dc =)) [enlace] =)) =)) have you ever seen such a silly man like this ? [enlace] =)) Just check out my new personal website : [enlace] C00l !!! Let's vote for Miss Vietnam - Mai Phuong Thuy - for the upcoming Miss World championship : [enlace] !! Let's vote for Vietnam's beauty - Mai Phuong Thuy - for the upcoming Miss World competition : [enlace] :x !! making money online never be easier : [enlace] >:D< Now you can avoid some critical online viruses by updating Windows . Click here to know how to Update your Windows :. [enlace] oh my god , i've won a 20000 usd lottery :O [enlace] . Come to my house tonight for a party !! >:D< the only way to clean some online viruses that may lead you into troubles : [enlace] << wtf is this ? Wanna give me a shit ? [enlace] x-( << you are virus infected . Use this tool to remove viruses from your PC : [enlace] << Si el usuario hace clic en el [enlace] incluido en cada mensaje, se descarga y ejecuta el gusano propiamente dicho, desde determinados sitios de Internet. Cuando ello ocurre, se crea en el sistema uno de los siguientes archivos: c:\windows\svchost32.exe c:\windows\svhost32.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). El gusano crea o modifica las siguientes entradas en el registro, para cambiar la página de inicio del Internet Explorer, para evitar que se modifique la misma, y para autoejecutarse en cada reinicio del sistema, entre otras acciones: HKCU\Software\Policies\Microsoft \Internet Explorer\Control Panel Homepage = "1" HKCU\Software\Microsoft\Internet Explorer\Main Start Page = "[dirección página Web]" Window Title = "Viva TermeX !" HKCU\Software\Yahoo\pager\View\YMSGR_buzz content url = "[dirección página Web]" HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast content url = "[dirección página Web]" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Task Manager = "[camino y nombre del gusano]" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SVCHOST = "[camino y nombre del gusano]" También desactiva el uso del editor del registro y el Administrador de tareas, modificando las siguientes entradas: HKCU\Software\Microsoft\Windows \CurrentVersion\Policies\System DisableTaskMgr = "1" HKCU\Software\Microsoft\Windows \CurrentVersion\Policies\System DisableRegistryTools = "1" El gusano puede finalizar los siguientes procesos: bdss.exe Bkav2006.exe IEProt.exe vsserv.exe * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Descargue el archivo indicado en el siguiente enlace: http://www.videosoft.net.uy/restaurar3.reg 2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 3. Haga doble clic sobre el archivo descargado antes (RESTAURAR3.REG), y acepte los cambios. 4. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 5. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 6. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main 3. Haga clic en la carpeta "Main" y busque y borre las siguientes entradas: Start Page = "[dirección página Web]" Window Title = "Viva TermeX !" 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Policies \Microsoft \Internet Explorer \Control Panel 5. Haga clic en la carpeta "Control Panel" y busque y borre la siguiente entrada: Homepage = "1" 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Yahoo \pager \View \YMSGR_buzz 7. Haga clic en la carpeta "YMSGR_buzz" y busque y borre la siguiente entrada: content url = "[dirección página Web]" 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Yahoo \pager \View \YMSGR_Launchcast 9. Haga clic en la carpeta "YMSGR_Launchcast" y busque y borre la siguiente entrada: content url = "[dirección página Web]" 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 11. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 5 del ítem "Antivirus". 12. Cierre el editor del registro. 13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual". * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Mantenga actualizado su programa antivirus. De poco vale tener un antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. De todos modos, hoy en día las actualizaciones de la mayoría de los fabricantes son diarias y automáticas. Si tiene un producto que no se actualiza automáticamente, piense seriamente en cambiarlo. 2) No abra ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Tampoco haga clic en enlaces sugeridos en aquellos correos o mensajes instantáneos que no solicitó. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Manténgase informado de cómo operan los virus, y de las novedades sobre éstos, alertas y anuncios críticos, en sitios como el nuestro. 4) No descargue nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceda como con los archivos adjuntos. Cópielos a una carpeta y revíselos con su antivirus debidamente actualizado, antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No 2315 Año 10, jueves 7 de diciembre de 2006