Mostrando mensaje 159     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1110 Año 7, Martes 22 de julio de 2003 Fecha: Martes, 22 de Julio, 2003  02:37:17 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1110 Año 7, Martes 22 de julio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - No seamos tontos útiles, el problema no está en Internet 2 - Denegación de servicio en 3COM 812 3 - Denegación de servicio en XAVI X7028r Wireless router 4 - W32/Enegg.A. Datos adjuntos: "Cynthia.exe" 5 - W32/Lohack.C. Asunto: Windows update 6 - W32/Nogrov.A. Se propaga masivamente por e-mail _____________________________________________________________ 1 - No seamos tontos útiles, el problema no está en Internet _____________________________________________________________ http://www.vsantivirus.com/correo22-07-03.htm No seamos tontos útiles, el problema no está en Internet (Del correo de lectores) Buen día. Como estan por allá? y los mates? Les escribo desde Caracas/República Bolivariana de Venezuela en una mañana mas de otoño que de Caribe. Hoy leí el articulo "2 - Internet es de todos y para todos" (http://www.vsantivirus.com/cs-hinfohakers2.htm) y como dice el Chino "es una desgracia, es una gracia", si bien Internet es de todos y para todos, desde nosotros mismos debe nacer una serie de principios y normas mínimas de convivencia... por desgracia o gracia, la historia nos demuestra cuan prácticos somos en auto regularnos. Quizás sea arrogante con lo antes expuesto, mas para muestra un botón reciente, el conflicto en Irak (no con Irak). La complejidad que nos brinda Internet, es el reflejo de nuestra sociedad, a velocidad luz. El texto publicado por Shapiro (El mundo en un clic), nos brinda una visión de lo sucedido y lo que podría suceder de no ser capaces de auto regularnos. Mientras escribía mi informe de grado y a lo largo de mis estudios, en varias oportunidades papa me pregunto de Internet, entre mates y te, llegamos a la conclusión de que ella no es mala, es el uso que le demos lo que le da el matiz de bondad o maldad. Sobre los correos basura, copias piratas de programas y demás "cosas", el mundo físico también esta lleno de ello, seria de ingenuos el creer que los explotadores del marketing no harían uso de la Red para "ofertar lo suyo". De robos y pornografía... bueno tomen la molestia de leer cualquier periódico de circulación nacional o regional, p.ej. entren en el www.el-nacional.com la publicación digital de un periódico aca en Venezuela. ¿Pornografía? ja, revisen el cuarto de cualquier chaval, al menos dos o tres revistas de desnudos (algunos prefieren llamarlo arte) conseguirán. No seamos tontos útiles, el problema no está en Internet, ni en los proveedores de servicios (Caso Gencat), o en leyes orientadas a negar libertades, el problema radica en cada uno de nosotros como terminales finales de esa Red. Internet nos brinda una ventana al mundo, siendo extenso, podríamos asociarla con las ideas de Sir Albert Einstein "la distancia mas corta entre dos puntos es... el punto mismo", no lo creen... bueno visiten su pagina personal, revisen sus correos, hagan una transferencia bancaria, reserven tickets para el cine del domingo, pidan unas pizzas para esta noche y vean en directo la final de Wimbledon... todo desde su oficina (los que aun vamos a ella) o desde la habitación de su casa cómodamente acondicionada o porque no, desde el ciber de Paco. El mayor riesgo que corremos hoy, es no aprender de nuestros errores, buscar en los demás la "culpa de...". Una de las mayores virtudes es la libertad de elegir que hacer, incluso de no hacer, más esa libertad tiene un precio (hasta el no hacer), ¿estamos realmente dispuestos a asumirlo?... o solo queremos seguir diciendo que hacer. Excelente el trabajo que realizan y comparten con nosotros, muchas gracias por la información y los portales, continúen asi, ayudan mucho mas de lo que puedan imaginarse. Muy feliz día !!! PD: difiero de Carlos en apartar a quienes mantienen posiciones hostiles o no han podido perdonar y seguir, ellos son tan necesarios en los procesos sociales (Internet lo es) como las gripes, crean anticuerpos, fortalecen nuestras defensas y nos recuerdan la mortalidad del ser, mas respeto tu opinión. Yo he estado allí, en ese lugar de absurdos y quejosos, quienes se atribuyen para si los logros ajenos y sin titubear te acusan a diestra y siniestra de lo que ni ellos han entendido, o que entendiéndolo, saben que han hecho mal, como fuere, eses es su problema, las consecuencias de lo que hoy hacen, le acompañaran durante sus vidas, como te referí, ese es su problema. Luis Conde lconde@ucab.edu.ve * Referencias: Internet es de todos y para todos http://www.vsantivirus.com/cs-hinfohakers2.htm Elucubraciones de un Internauta de a pie http://www.vsantivirus.com/cs-hinfohakers.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Denegación de servicio en 3COM 812 _____________________________________________________________ http://www.vsantivirus.com/vul-3com812.htm Denegación de servicio en 3COM 812 Por David F. Madrid idoru@videosoft.net.uy Asunto: Denegación de servicio en 3COM 812 Producto Afectado: 3com 812 DSL router firmware 1.1.9 El OfficeConnect es un modelo de router de 3COM que se proporciona a los usuarios de ADSL en España y algunos países de Latinoamérica. Hasta el año 2001 3Com había entregado a Telefónica más de 100,000 routers de su modelo 812. Este router puede ser reiniciado de una forma sencilla debido a un fallo en su interface de administración web. Ya que no es necesario autenticarse para provocar el reinicio del router cualquier usuario de la red interna puede hacerlo. Se puede explotar remotamente el fallo con un poco de interacción de un usuario del 3COM, por ejemplo, pulsando un enlace en un foro o visitando una página. Debido a que el búfer que almacena las peticiones HTTP de la interface web de administración (Allegro RomPager) es de 512 bytes y no se comprueba si la longitud de la petición supera la longitud del búfer, enviando 512 bytes o más se provoca un fallo en el router y un reinicio, perdiéndose la conexión por unos minutos. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Denegación de servicio en XAVI X7028r Wireless router _____________________________________________________________ http://www.vsantivirus.com/vul-xavix7028r.htm Denegación de servicio en XAVI X7028r Wireless router Por David F. Madrid idoru@videosoft.net.uy Asunto: Denegación de servicio en XAVI X7028r Wireless router Producto afectado: XAVI X7028r Wireless DSL router Telefónica ofrece a sus clientes en España y Latinoamérica la posibilidad de contratar su servicio ADSL con un router inalámbrico fabricado por XAVI. El router puede ser reiniciado por un usuario de la red interna o remotamente con la interacción de un usuario que utilice XAVI debido a que no comprueba que la longitud de la URL no supera el límite del búfer en el servidor UPnP (Universal Plug & Play), que el router tiene en el puerto TCP/280. Esto ocurre con los métodos GET, HEAD y TRACE con diferentes longitudes de URL y no es necesario estar autenticado para provocar el reinicio del router. La conexión PPP (Point to Point Protocol) tendrá que ser cortada y comenzada de nuevo para un funcionamiento normal del router. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Enegg.A. Datos adjuntos: "Cynthia.exe" _____________________________________________________________ http://www.vsantivirus.com/enegg-a.htm Nombre: W32/Enegg.A Tipo: Gusano de Internet Alias: W32.Enegg@mm, I-Worm.Enegg, Win32/Enegg.A, W32/Cynthia Fecha: 21/jul/03 Tamaño: 81,920 bytes Plataforma: Windows 32-bit Este gusano, escrito en Visual Basic, se envía masivamente a través del correo electrónico a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, e intenta borrar programas de seguridad instalados en la máquina infectada, como antivirus, cortafuegos, etc. Sus mensajes están en español, y tienen las siguientes características: Asunto: [uno de los siguientes] actualizate de una vez gogoogogogogo Alertas de virus!! como estas... te env crack cuidado!! cynthia fotos Cynthia_fotos Fotos de Cynthia fotos_De_Cynthia fuerza_hotmail Fwd: huevos poetas Fwd: Msn_Ghost Fwd: msn_ghost Hackea hotmail Hackear hotmail hackear_hotmail Hacker Tutoriales aplicacion Hackers Tutorials Hacking hotmail internet_explorer_parche Kaspersky AVP Patches McAfee VirusScan Patches messenger 6.5 v.final msn_ghost mxpx mxpx screensaver nada mas!!!prueba este tutorial Norton New Patches Norton_parches Parche parche_Seguridad_explorer parches Parches de microsoft Parches para kaspersky AVP Parches para McAfee VirusScan 2003 Parches para Norton 2003 Re: El archivo... Re: messenger 6.5 Re: MsN 6.5 final Re: mxpx_screensaver revisalo ok screensaver tan solo pruebalo Tutoriales hackers Texto del mensaje: [uno de los siguientes] mira las fotos de mi flaka jeje.solo para q la conoscas esta compilado ciaoo ah salido un nuevo virus q tienes q tener mucho cuidado te adjunto el parche de seguridad adios descomprime el exe y ejecutalo en la pc para q te cuides del nuevo virus chao aca estan lsoparches para tu antivirus el norton 2003 bueno hablamos adios ;) parches para kaperskyusalos ya adios oye!! aca esta hackea hotmail de una vez te mando el programa chao manual del buen hacker para hotmail recomendado!!! Hola!!!, por ah dicen que hay alertas para el virus DeathLetter, as que ejecuta estos parches para que no seas infectado :) te mando las fotos de mi novia cynthia para q la conoscas ok? estan comprimidas adios!! oye ah salido un nuevo virus asi q aca te mando algo para q te cuides ok? Muy buen tutorial para el hack te lo recomiendo estos huevos poetas son un mate de risa miralos jajajajja conversa con gente q no tengas a agregada a tu msn con el msn_ghost bravazo este protector de pantalla mira las fotos de mi Cynthia , te las puse en un programa lo ultimooo el messenger 6.5 ponle sonido a tusmensajes y manda mensajes con voz olvidate de escribir chaooo el mejor grupo de punk MXPX te mando un programa para la pc de este grupazo de punk!! Nuevo Virus Alerta!!! Dicen por ahi q ah salido la variante del ultimo virus te mando el parche descarga el nuevo parche de Microsoft para 9x/Me/2000/NT/XP espara combatir los nuevos virus Descarga el nuevo parche para Norton antivirus 2003 para 9x/Me/2000/NT/XP TE MANDO UN PROGRAMA PARA SACAR CONTRASE AS DE HOTMAIL ATRAVEZ DE FUERZA BRUTA ES MEJOR Q EL BRUTUS HoT te mando el crack para el Norton Antivirus viene con la nueva herramienta llamada NORTON GHOST funciona bajo win 9x/Me/2000/NT/XP ya no tendras problemas con virus en tu maquina Hola aca te mando el archivo q me pedistes esta adjuntado o estos tutoriales para que aprendas a hackear a los que te caen mal y est n en hotmail. Diviertete!!! DIVIERTETE!!! te mando el programa para q puedas hablar con gente qno tengas agregada al Messenger OYE TEN CUIDADO A SALIDO UN VIRUS MUY PELIGROSO Q TE FORMATEA EL DISCO DURO TE MANDO ESTOS PARCHES DE SEGURIDAD DE MICROSOFT ve las fotos de mi novia Cynthia para q la conoscas, son solo para t!!! ;) hola, como estas? oyep aca te mando el programa para sacar seriales.. de varios programas y haci no tengas q pagar nada :P me lo dio un amigo actualizaciond e internet explorer la version 6.5.2 aca esta descargalo bye el programa por el que preguntaste te lo mando y actualzate saludos!! =P Datos adjuntos: Cynthia.exe Cuando se ejecuta el adjunto, crea una carpeta y un archivo de texto: c:\windows\system\Cynthia\Cynthia.txt NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). Luego muestra el contenido del .TXT en el bloc de notas: Cynthia siempre seras el amor de mi vida Nunca dejare de amarte ...Princesita Te amo mucho y voy a estar cerca a ti muy pronto bebe Bebe Como yo nadie te ah amado te amo =) Nunca me cansare de decirte q eres la mujer de mi vida te amo con todo mi corazon bebe y me gustaria q todo el mundo se entere de lo mucho q te amo eres mi vida y nunca pero nunca te dejare de amar Hola este virus no hace nada no te va a formatear nada ni nada ok? tranquilizese q no es nada malo solo eh creado este virus para q todo el mundo se entere de lo mucho q amo a cynthia la amo con todo mi corazon si tiene algun problema tan solo reinstale su windows pero le repito no es nada malo =) También abre una ventana de mensajes, con el siguiente texto: Nunca me cansare de decirte q eres la mujer de mi vida te amo con todo mi corazon bebe y me gustaria q todo el mundo se entere de lo mucho q te amo eres mi vida y nunca pero nunca te dejare de amar [ Aceptar ] Después, se copia a si mismo en las siguientes ubicaciones: c:\windows\system\Cynthia.exe c:\recycled\Cynthia.exe En ocasiones, puede crear los siguientes archivos, e intenta mostrar otras ventanas de mensajes, las que suelen aparecer corruptas, o no aparecer: cmd.exe.vbs msconfig.exe.vbs sysedit.exe.vbs Agrega la siguiente entrada en el registro, como indicador de infección: HKLM\SOFTWARE\Cynthia Para autoejecutarse en próximos reinicios, crea la siguiente entrada en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows = C:\Recycled\Cynthia.exe Luego, intenta borrar todos los archivos de las siguientes carpetas, eliminando conocidos antivirus y otras aplicaciones de protección como cortafuegos, etc.: C:\Archivos de programa\AntiViral Toolkit Pro C:\Archivos de programa\Command Software\F-PROT95 C:\Archivos de programa\McAfee\VirusScan C:\Archivos de programa\Norton AntiVirus C:\Archivos de programa\Panda Software\Panda Antivirus Titanium C:\Archivos de programa\Panda Software\Panda Antivirus 6.0 C:\Archivos de programa\AnalogX\Script Defender C:\Archivos de programa\Trend Micro\PC-cillin 2000 C:\Archivos de programa\Trend Micro\PC-cillin 2002 C:\Archivos de programa\AVPersonal C:\Archivos de programa\Trend PC-cillin 98 C:\Archivos de programa\Perav C:\Archivos de programa\McAfee\McAfee VirusScan C:\Archivos de programa\F-Secure\Anti-Virus C:\Archivos de programa\The Hacker C:\Archivos de programa\Zone Labs\ZoneAlarm C:\Archivos de programa\ESET\NOD32 C:\Archivos de programa\McAfee VirusScan Professional Edition 7.0 C:\Archivos de programa\The Hacker 5.5 C:\Archivos de programa\The Hacker C:\Toolkit\FindVirus Finalmente genera los mensajes vistos antes, los que envía a todos los contactos de la libreta de direcciones del Outlook y Outlook Express. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Los programas borrados deberán ser restaurados o vueltos a instalar. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\Cynthia.exe c:\recycled\Cynthia.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Cynthia 5. Pinche en la carpeta "Cynthia" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Lohack.C. Asunto: Windows update _____________________________________________________________ http://www.vsantivirus.com/lohack-c.htm Nombre: W32/Lohack.C Tipo: Gusano de Internet Alias: W32.Lohack.C.Worm, I-Worm.Lohack.c, Win32/Lohack.C Fecha: 20/jul/03 Tamaño: 45,056 bytes Plataforma: Windows 32-bit Esta variante de la familia del Lohack, infecta aplicaciones P2P (Peer-To-Peer), además de enviarse a través de mensajes, a direcciones obtenidas de diferentes archivos en los equipos infectados, con las siguientes extensiones: .dbx .eml .htm .idx .mdx .msg .nch .txt Los mensajes enviados, tienen estas características: Asunto: Windows update Datos adjuntos: windows_update.txt.exe Texto: Install this Windows update (for all versions). Tanto para buscar las direcciones a las que se enviará, como para enviar sus mensajes, utiliza comandos MAPI (Messaging Application Programming Interface), interface de programación para aplicaciones que gestionan correo electrónico. También intenta propagarse a través de las redes de intercambio de archivos entre usuarios KaZaA e iMesh. El gusano se copia a si mismo en las carpetas compartidas de dichas aplicaciones, con los siguientes nombres: Age of Empires 2 Crack.exe Britney Spears Nude.exe DivX Lastest Beta.exe DivX.exe Emulator Downlaoder.exe GTA3 Crack.exe GTA3 Secrets.exe Half-life Secrets.exe ICQ Banner Remover.exe ICQ Password Recovery (All Versions).exe KaZaA 2.0 Lastest Beta.exe KaZaA Spyware Remover.exe MIB episode 2 Downloader.exe Microsoft Access Password Recovery (All Versions).exe Microsoft Excel Password Recovery (All Versions).exe Microsoft Office Password Recovery (All Versions).exe Microsoft Office XP Key Generator.exe Microsoft Word Password Recovery (All Versions).exe Norton Antivirus 2003 Beta Downloader.exe Quake 4 Lastest Beta.exe RAR Password Recovery.exe Tiazinha nua.exe Warcraft 3 Secrets.exe Windows (All Versions) Key Generator.exe Windows Screen Saver Password Recovery (All Versions).exe Windows Secrets.exe Windows XP Crack.exe Windows XP Key Generator.exe Windows XP Serial Generator.exe WinRar and Crack.exe WinZip 8.0 and Serial.exe XBox Emulator.exe XBox Secrets.exe Xuxa nua.exe ZIP Password Recovery.exe También crea accesos directos con los mismos nombres de los archivos, pero con la extensión .URL (Uniform Resources Locator o Localizador Uniforme de Recursos). Los URLs son "apuntadores" a la ubicación de cualquier archivo, como por ejemplo una página HTML. En este caso, enlazan a un sitio de intercambio de virus, al que se accede si el usuario hace doble clic sobre ellos, y existe una conexión activa a Internet. El gusano no modifica el registro, y solo se ejecuta cuando a su vez alguno de los archivos mencionados es ejecutado. * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - W32/Nogrov.A. Se propaga masivamente por e-mail _____________________________________________________________ http://www.vsantivirus.com/nogrov.a.htm Nombre: W32/Nogrov.A Tipo: Gusano de Internet Alias: W32.Nogrov@mm, Win32/Nogrov.A Fecha: 20/jul/03 Plataforma: Windows 32-bit Tamaño: 4,128 bytes Este gusano se propaga a través del correo electrónico, enviándose a todos los contactos de la libreta de direcciones de Windows (.WAB). Los mensajes tienen las siguientes características: Versión 1: De: alex_p@hotmail.com Asunto: So much fun Datos adjuntos: roadrash.exe Texto: This game really rocks. Play it! Versión 2: De: nicolas_k@kingsnake.com Asunto: I need help Datos adjuntos: kungfoo2.exe Texto: This game wont run properly. Does it work for you? Versión 3: De: james_c@norton.com Asunto: Virus Alert! Datos adjuntos: protect.exe Texto: Win32.Kiss0Death is spreading fast. Download the protection. Versión 4: De: joice_z@cooking.com Asunto: Taisty eh? Datos adjuntos: yummy.exe Texto: Tell me if this makes your mouth water. Versión 5: De: momoney@cibc.com Asunto: Free money Datos adjuntos: money.exe Texto: Run this program and you will recieve 10 dollars a week free. Versión 6: De: msn@microsoft.com Asunto: MSN Messenger Update Datos adjuntos: messenger.exe Texto: Latest update for MSN Messenger. Versión 7: De: stopspam@spammers.com Asunto: SPAM protection Datos adjuntos: nospam.exe Texto: Run the program below and you will never see spam mail again. Cuando se ejecuta el adjunto, el gusano muestra una ventana con el siguiente mensaje: You Will Die:)) Seak is here,hahahahaha [ OK ] Luego, se copia en la carpeta de Windows: c:\windows\seak.exe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). Modifica el registro, para autoejecutarse en cada reinicio del sistema infectado: HKLM\Software\Microsoft\Windows\CurrentVersion\Run seak = c:\windows\seak.exe También cambia la página de inicio del Internet Explorer por la de un sitio de intercambio de virus. Se copia también en la siguiente carpeta, con alguno de los siguientes nombres: C:\My downloads\ (Black Hawk Down (full).exe Age Of Mythology.exe Battlefield 1942 (full).exe Command & Conquer: Generals.exe Cossacks Full Version.exe Dark Age of Camelot.exe Doom 3.exe Grand Theft Auto 3 (full).exe Jedi Knight II.exe Master Of Orion 3.exe Medel Of Honor: Allied Assault.exe Oni full.exe Quake 3 Full Version.exe Rainbow 6 Full.exe Return to Castle Wolfenstien (Full).exe Starcraft full.exe The Lord of the Rings.exe The Sims: Unleashed.exe Tribes 2 (full).exe Ultima Online.exe Unreal 2: The Awakening (full).exe Unreal.exe Warcraft III Full.exe White and Black.exe Luego se envía a todos los contactos de la libreta de direcciones de Windows, en mensajes como los ya descriptos. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\seak.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: seak 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual". * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1110 Año 7, Martes 22 de julio de 2003