| Asunto: | VSantivirus No. 1107 Año 7, Sábado 19 de julio de 2003 | | Fecha: | Sabado, 19 de Julio, 2003 03:25:59 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1107 Año 7, Sábado 19 de julio de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - IOS Cisco vulnerable a ataques a través de paquetes IPv4
2 - W32/Gruel.D. Destructivo gusano que obliga a reinstalar
3 - W32/Indor.E. Llega en un adjunto con extensión .ZIP
4 - W32/Symten.A. Simula ser un parche para SVCHOST.EXE
_____________________________________________________________
1 - IOS Cisco vulnerable a ataques a través de paquetes IPv4
_____________________________________________________________
http://www.vsantivirus.com/vul-ioscisco-ipv4.htm
IOS Cisco vulnerable a ataques a través de paquetes IPv4
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Cisco Systems ofrece soluciones de conectividad para redes,
tanto de hardware como de software, como por ejemplo Cisco
IOS, un sistema operativo que brinda servicios de
conectividad para que las aplicaciones trabajen en ambientes
de red.
Recientemente se ha descubierto una vulnerabilidad en el
tratamiento de paquetes de datos en las versiones 11.x y 12.x
de Cisco IOS. La explotación de esta vulnerabilidad puede
provocar que el sistema deje de procesar el tráfico que
llegue a él.
Todos los dispositivos Cisco que ejecuten software Cisco IOS
y se encuentren configurados para procesar paquetes del
protocolo IPv4 son vulnerables a esta falla.
IPv4 es el protocolo de direccionamiento de Internet que hace
posible la interconexión con cada computadora o recursos
conectado a la red. Desarrollado en 1975, está basado en las
direcciones IP convencionales, formadas por cuatro grupos de
8 bits (32 bits).
Enviando a la interface de un dispositivo vulnerable, ciertos
paquetes de ese protocolo construidos maliciosamente, un
intruso puede causar que el dispositivo deje de procesar todo
el tráfico de paquetes que tenga como destino el ruteador,
incluyendo paquetes de protocolo de ruteo y paquetes ARP.
Ninguna alarma será mostrada, y el ruteador no se reiniciará
al estado correcto por si solo. Esta advertencia puede
afectar a todos los dispositivos que ejecuten software IOS
Cisco.
Esta falla es muy grave, ya que ha sido publicado un exploit
para aprovechar esta vulnerabilidad, lo que facilita a un
atacante interrumpir la operación normal de cualquier sistema
vulnerable, causando denegación de servicio (DoS). Esto
incluye muchos sistemas conocidos de Internet.
La solución es aplicar el parche que Cisco describe en su
boletín de seguridad:
http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml
Mientras tanto, se puede minimizar el riesgo, utilizando como
control las llamadas "Listas de Acceso", o ACL (Access
Control Lists). El correcto uso de ACL dependerá de la
topología de cada red, y podría degradar el rendimiento en
algunos casos concretos (ver Referencias).
* Referencias:
Cisco Security Advisory:
Cisco IOS Interface Blocked by IPv4 Packets
http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml
Sobre ACL (Access Control Lists):
http://www.cisco.com/warp/public/707/racl.html
http://www.cisco.com/warp/public/707/iacl.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Gruel.D. Destructivo gusano que obliga a reinstalar
_____________________________________________________________
http://www.vsantivirus.com/gruel-d.htm
Nombre: W32/Gruel.D
Tipo: Gusano de Internet
Alias: W32/Gruel-D, W32/Fakerr.d@MM, W32.Gruel.d@MM,
W32.Gruel@mm, Win32.Gruel, Win32/Gruel.C, I-Worm.Kiguat
Plataforma: Windows 32-bit
Tamaño: 102,400 bytes
Fecha: 18/jul/03
Este gusano, de envío masivo a través del correo electrónico,
se disfraza como una actualización de Windows enviada por
Microsoft en un mensaje como el siguiente:
Asunto: Microsoft Windows Critical Update
Datos adjuntos: Rundll32.exe
Texto:
Critical Update: The Microsoft Windows updates
found on this patch include fixes to following
Windows operating systems: Any update that is
critical to the operation of your computer is
considered a Critical Update, and is automatically
selected for installation during the scan for
available updates. This patch is provided to help
resolve known issues, and to protect your computer
from known security vulnerabilities and all kinds
of viruses. Whether a patch applies to your operating
system, software programs, or hardware, it is listed
in the Critical Updates category, like this patch
attached. For Support please contact us at
support@microsoft.com
* Más información:
W32/Gruel.A. Falsos mensajes de Microsoft y Symantec
http://www.vsantivirus.com/gruel-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Indor.E. Llega en un adjunto con extensión .ZIP
_____________________________________________________________
http://www.vsantivirus.com/indor-e.htm
Nombre: W32/Indor.E
Tipo: Gusano de Internet
Alias: W32.HLLW.Indor.E@mm
Fecha: 16/jul/03
Plataforma: Windows 32-bit
Tamaño: 462,848 bytes
Este gusano, escrito en Microsoft Visual Basic, se propaga a
todos los contactos de la libreta de direcciones del Outlook
y Outlook Express, en mensajes como los siguientes, que
llevan como adjunto un archivo comprimido (.ZIP):
Asunto: [uno de los siguientes]
Confirmation Email - Required !
Download DVD Movie Now !! Its Free..!
Free MP3, OGG/VORBIS Hit Songs !!
Free Software, Download it now !!
Need a quick $100 today?
Re: Web Site Report
Re: Your Daily Report
Thank You !
Thank You For Your Subscription - Confirmation
The E.A.S.E System Can Make You Money At Home!!
URGENT: Please Verify Your Submission Confirm FFA
submission !!
WE send the TRAFFIC, YOU make the SALES!
WHY NOT CHECK IT OUT? IT'S FREE!
You are Losing Income
Your Success Is Guranteed!
Your verification is required Confirm FFA submission
and receive 1000 Credit
Texto del mensaje [uno de los siguientes]
Versión 1:
Hello!
Need a quick $100 today?
Need a quick $500 this week?
Need to QUICKLY build a $5,000 monthly income?
Download the attachment now !
Versión 2:
Have I peaked your curiosity?
This is something that I think that anyone who
is serious about marketing andbeing on the internet
should check out.
Save it Now !
Versión 3:
SPECIAL, SPECIAL ! SANTA CAME EARLY...
WE WILL REFUND YOUR MONEY IF YOU ARE AMONG
THE NEXT 100 people to join, commit and bring
you new people!
Save it Now!
Versión 4:
The Mastercard Stored Value Card is good anywhere
in the world that Mastercard is accepted!
APPLY NOW AND GET $20 FREE!!
Download it Now And Get free Bonus!
Versión 5:
ATTENTION: THIS PROGRAM IS EXPLODING WORLDWIDE.
THOUSANDS OF PEOPLE ARE SIGNING UP EVERY DAY
CREATING ONE OF THE LARGEST MEMBERSHIP BASES
IN THE WORLD!
Datos adjuntos (uno de los siguientes):
Bonus.zip
FFA.zip
FreeJoin.zip
Report.zip
SaveNow.zip
El adjunto contiene el archivo del propio gusano, y debe ser
descomprimido y luego ejecutar el contenido para que se
produzca la infección. Este archivo tendrá alguno de los
siguientes nombres:
Bonus.exe
FFAMember.exe
Free.exe
FreeJoin.exe
Girls.exe
ItsFree.exe
JoinNow.exe
Report.exe
SaveNow.exe
Sexy.exe
También se propaga a través de unidades de red, disquetes,
red de intercambio de archivos KaZaa y de los canales de
chat, usando el mIRC.
Cuando se ejecuta, muestra una ventana de error falsa con el
siguiente mensaje:
WinZip
Error in file #1: bad Zip file offset (Error local
header signature not found): disk #1 offset: 68669733
[ OK ]
Luego se copia en las siguientes ubicaciones:
c:\windows\Blank.scr
c:\windows\Kernelw32.exe
Además, puede copiarse con alguno de los siguientes nombres:
c:\windows\Free.exe
c:\windows\JoinNow.exe
c:\windows\FreeJoin.exe
c:\windows\FFAMember.exe
c:\windows\Bonus.exe
c:\windows\Sexy.exe
c:\windows\Girls.exe
c:\windows\SaveNow.exe
c:\windows\Report.exe
c:\windows\ItsFree.exe
NOTA: "C:\Windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "C:\Windows" en Windows
9x/ME/XP o "C:\WinNT" en Windows NT/2000).
Modifica luego el registro para autoejecutarse en cada
reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Kernelw = c:\windows\Kernelw32.exe
También modifica el archivo WIN.INI, para ejecutarse al
reniciarse la computadora en equipos con Windows 95, 98 y Me:
[windows]
load = c:\windows\Kernelw32.exe
También agrega en WIN.INI las siguientes líneas:
[WORM]
Name=I-WORM>PERKASA
Author=Iwing/Indovirus
Modifica también el archivo SYSTEM.INI, para ejecutarse al
reiniciarse la computadora en equipos con Windows 95, 98 y
Me:
[boot]
SCRNSAVE.EXE = c:\windows\Blank.scr
Luego busca en todas las carpetas y subcarpetas, archivos con
extensiones .EXE y .JPG, y se copia en la misma carpeta con
el mismo nombre de los archivos encontrados, pero agregando
la extensión .SCR.
Por ejemplo, si se encuentra un archivo EJEMPLO.EXE, el
gusano se copia en la misma ubicación, con el nombre
EJEMPLO.EXE.SCR.
También busca archivos con extensiones .LNK, .DOC, .XLS,
.MP3, .MPG, .HTM, y .HTML, y se copia en la misma carpeta con
el mismo nombre de los archivos encontrados, pero agregando
la extensión .EXE.
Por ejemplo, si se encuentra un archivo EJEMPLO.DOC, el
gusano se copia en la misma ubicación, con el nombre
EJEMPLO.DOC.EXE.
Intenta finalizar cualquier proceso activo con los siguientes
nombres:
Amon.exe
Antivir
Avconsol
Avp.exe
Avp32
Avpcc.exe
Avpm.exe
Navapw32
Nmain
Pop3trap
Vshwin32
Vsstat
También busca en todas las carpetas y subcarpetas estos
archivos, y luego intenta borrarlos:
Amon.exe
Antivir.exe
Avconsol.exe
Avp.exe
Avp.set
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Lucomserver.exe
Nmain.exe
Pop3trap.exe
Vshwin32.exe
Vsstat.exe
Abre el navegador de Internet con la siguiente dirección:
www.indovirus.net
También intenta ataques a la dirección del SARC:
www.sarc.com
Si la fecha actual es 8 o 12 de cualquier mes, el gusano
muestra el siguiente mensaje:
WARNING!
The System is either busy or has become unstable
you can wait and see if it becomes available again,
or you can restart your Computer
* Press Any key to return to windows and wait
* Press CTRL+ALT+DEL Again to restart your computer,
you will lose unsaved information,in any programs
thats are runing.
* Send Complain Email to support@microsoft.com for
creating This Stupid Message.
Si existe un disquete disponible en la unidad A, el gusano se
copia en él con alguno de los siguientes nombres:
A:\Asian123.jpg.scr
A:\Lesbians123.jpg.scr
A:\teen123.jpg.scr
A:\Fetish123.jpg.scr
A:\Blowjobs123.jpg.scr
Los números "123" representan dígitos seleccionados al azar.
Para propagarse a través de la red de intercambio de archivos
KaZaa, el gusano se copia en alguna de las siguientes
carpetas:
c:\program files\kazaa\my shared folder
c:\kazaa\my shared folder
Para ello utiliza los siguientes nombres de archivos:
Antiviral.exe
Avupdate.exe
Free_firewall.exe
Liveupdate.exe
Mcaff.exe
Navupdate.exe
Password.exe
Sexshow.exe
Xppatch.exe
El gusano también crea en las carpetas del KaZaa, archivos
creados con las siguientes cadenas [1]+[2]+[3]:
Parte [1]:
AMATEURE
ASIAN
Fetish
Fisting
Girls
Lolita
NUDE
PIC
Preeteens
SEXY
Parte [2]:
Número generado al azar, por ejemplo: 236581837
Parte [3]:
jpg.exe
Ejemplos:
Lolita236581837jpg.exe
ASIAN236581837jpg.exe
El gusano enumera todas las unidades de red disponibles y se
copia a si mismo en la carpeta de Windows de cada unidad, con
alguno de los siguientes nombres:
Asian.jpg.exe
Hot_And_Horny.jpg.exe
Lesbians.jpg.exe
SexyGirls.jpg.exe
Wet_And_Horny.jpg.exe
Para enviarse por correo electrónico, el gusano crea los
siguientes archivos:
C:\Zip.com
C:\Zip.dbg
C:\Zipb.bat
El primero es una copia de la utilidad Pkzip.exe, y el
segundo, un archivo de datos de 143,524 bytes, utilizado para
generar al anterior (Zip.com), con la ayuda del .BAT. Ninguno
de ellos contiene código malicioso alguno.
Luego, se comprime en un archivo con extensión .ZIP que envía
como adjunto a todos los contactos de la libreta de
direcciones del Outlook y Outlook Express, en mensajes como
los descriptos al principio. Para enviarse, utiliza las
rutinas MAPI del Outlook.
Para propagarse a través de los canales de chat, el gusano
crea o sobrescribe el archivo MIRC.INI, con las instrucciones
para enviar el archivo FREEPIC.ZIP que contiene el gusano, a
otros usuarios que compartan los mismos canales de IRC que la
víctima infectada.
* Reparación manual
* Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este
programa, hasta haber quitado el gusano del sistema, para
prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" >
"Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa
folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos borrados deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\Blank.scr
c:\windows\Kernelw32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
3. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Kernelw
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Editar el archivo WIN.INI y SYSTEM.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
load = c:\windows\Kernelw32.exe
Debe quedar como:
[Windows]
load =
3. Busque lo siguiente:
[WORM]
Name=I-WORM>PERKASA
Author=Iwing/Indovirus
4. Borre las tres líneas.
5. Grabe los cambios y salga del bloc de notas.
6. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
7. Busque lo siguiente:
[boot]
SCRNSAVE.EXE = c:\windows\Blank.scr
8. Borre la línea "SCRNSAVE.EXE"
9. Grabe los cambios y salga del bloc de notas
10. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* El IRC y los virus
Se recomienda precaución al recibir archivos a través de los
canales de IRC. Sólo acepte archivos que usted ha pedido,
pero aún así, jamás los abra o ejecute sin revisarlos antes
con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar
respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su
configuración, funciones como "send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la
configuración de "DCC" para transferencia de archivos,
selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de
éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Symten.A. Simula ser un parche para SVCHOST.EXE
_____________________________________________________________
http://www.vsantivirus.com/symten-a.htm
Nombre: W32/Symten.A
Tipo: Gusano de Internet
Alias: W32.HLLW.Symten@mm, W32/Symtem@mm, Win32/Symten.A,
Bloodhound.W32.VBWORM, I-Worm.Symten.b
Fecha: 17/jul/03
Tamaño: 106,496 bytes
Plataforma: Windows 32-bit
Gusano escrito en Visual Basic que se propaga a través de
mensajes con asunto y archivo adjunto, generados al azar.
El texto del mensaje simula ser un parche de Microsoft, y se
le solicita al usuario que busque en su computadora el
archivo SVCHOST.EXE. Si este archivo existe, el mensaje pide
aplicar el parche.
NOTA: El archivo SVCHOST.EXE es un archivo existente en
algunas versiones de Windows, y su presencia es normal.
Además recuerde que Microsoft jamás le enviaría archivos que
usted no solicitó.
El texto del mensaje es el siguiente:
Look at this!!! Microsoft svchost Patch:
Please run a search on your computer for the file
name SVCHOST.EXE if this file is found on your
system run the update patch provided in the
attatchment of this email.
Regards,
Adam Voldran
MSUpdate Devision
Microsoft Corp.
Cuando se ejecuta el adjunto de este mensaje, el gusano se
copia en los siguientes directorios:
c:\
c:\winnt\
c:\windows\
Utilizando los siguientes nombres:
_backup.exe
_backup.exe.exe
5283952.exe
6BDD1FC1-810F-11D0-BEC7-08002BE2092F.EXE
CHANNEL_UKVX(undernet).exe
elkern_UPS_23913.exe
HI_KIRSTY.exe
I_AM_A_WORM_DONT_OPEN_ME_LOL.exe
INFECT_YOUR_COMPUTER_NOW(hehe).exe
ITS_A_BOMB.exe
massive_head_injury.jpg.exe
MS_UPDATE_(126).exe
oleaut32.exe
QuickTimeUpdateHelper.exe
svchost.exe
swflash.exe
SYMTEM.exe
SYMTEM_(Writen_by_INDUSTRY).exe
up(21379123).exe
WINDOWS_XP.exe
x86_Microsoft_Windows_CPlusPlusRuntime_6595b64144ccf1df_x-ww_2726e76a.exe
x86_Microsoft_Windows_Networking_Dxmrtp_6595b64144ccf1df_4868_x-ww_212f7d9e.exe
x86_Microsoft_Windows_Networking_RtcDll_6595b64144ccf1df_4868_x-ww_b168a28c.exe
También se copia en las siguientes ubicaciones, con los
siguientes nombres:
C:\Documents and Settings\All Users\Documents\SYMTEM.EXE
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\SYMTEM.EXE
C:\Windows\All Users\Start Menu\Programs\Startup\SYMTEM.EXE
Además, sobrescribe los siguientes archivos:
C:\Program Files\Common Files\InstallShield\Engine\6\Intel 32\Ikernel.exe
C:\Program Files\NetMeeting\conf.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo32.exe
Agrega la siguiente entrada al registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Swf32 = C:\_backup.exe
Luego, envía a todos los contactos de la libreta de
direcciones del Outlook y Outlook Express, mensajes que crea
a partir de los siguientes elementos:
Asunto: Partes [1]+[2]+[3]+[4] de las siguientes listas:
Lista [1]:
Fwd :
Re:
RE: RE:
Lista [2]:
Look at
New
Open
This is cool
Watch out
Lista [3]:
MSPatch
Patch
Program
update
Lista [4]:
(237813)
(23781)
(2378)
(237)
Ejemplos:
RE: RE: This is cool Patch (2378)
Fwd : New Program (237813)
Texto del mensaje:
Look at this!!! Microsoft svchost Patch:
Please run a search on your computer for the file
name SVCHOST.EXE if this file is found on your
system run the update patch provided in the
attatchment of this email.
Regards,
Adam Voldran
MSUpdate Devision
Microsoft Corp.
Datos adjuntos [uno de los siguientes]:
5283952.exe
6BDD1FC1-810F-11D0-BEC7-08002BE2092F.EXE
CHANNEL_UKVX(undernet).exe
elkern_UPS_23913.exe
HI_KIRSTY.exe
I_AM_A_WORM_DONT_OPEN_ME_LOL.exe
INFECT_YOUR_COMPUTER_NOW(hehe).exe
ITS_A_BOMB.exe
massive_head_injury.jpg.exe
MS_UPDATE_(126).exe
oleaut32.exe
QuickTimeUpdateHelper.exe
svchost.exe
swflash.exe
SYMTEM_(Writen_by_INDUSTRY).exe
up(21379123).exe
WINDOWS_XP.exe
x86_Microsoft_Windows_CPlusPlusRuntime_6595b64144ccf1df_x-ww_2726e76a.exe
x86_Microsoft_Windows_Networking_Dxmrtp_6595b64144ccf1df_4868_x-ww_212f7d9e.exe
x86_Microsoft_Windows_Networking_RtcDll_6595b64144ccf1df_4868_x-ww_b168a28c.exe
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Swf32
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1107 Año 7, Sábado 19 de julio de 2003
|
VSantivirus No. 11
Responder a este mensaje
