vsantivirus.com - Mis eListas: vsantivirus: Mensajes

Inicio > Mis eListas > vsantivirus > Mensajes

Mensajes 138 al 157

Asunto	Autor
VSantivirus No. 10	VSAntivi
VSantivirus No. 10	VSAntivi
VSantivirus No. 10	VSAntivi
VSantivirus No. 10	VSAntivi
VSantivirus No. 10	VSAntivi
VSantivirus No. 10	VSAntivi
VSantivirus No. 10	VSAntivi
VSantivirus No. 10	VSAntivi
VSantivirus No. 10	VSAntivi
VSantivirus No. 10	VSAntivi
VSantivirus No. 10	VSAntivi
VSantivirus No. 11	VSAntivi
VSantivirus No. 11	VSAntivi
VSantivirus No. 11	VSAntivi
VSantivirus No. 11	VSAntivi
VSantivirus No. 11	VSAntivi
VSantivirus No. 11	VSAntivi
VSantivirus No. 11	VSAntivi
VSantivirus No. 11	VSAntivi
VSantivirus No. 11	VSAntivi

<< 20 ant. | 20 sig. >>

VSAntivirus

Página principal

Mostrando mensaje 161 < Anterior | Siguiente >

Responder a este mensaje

Asunto: VSantivirus No. 1112 Año 7, Jueves 24 de julio de 2003
Fecha: Jueves, 24 de Julio, 2003 06:19:47 (-0300)
Autor: VSAntivirus.com <vsantivirus @...........com>

VSantivirus No. 1112 Año 7, Jueves 24 de julio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Ni Susto ni Muerte... Tomadura de pelo 2 - Denegación de servicio en Windows NT Server (MS03-029) 3 - Desbordamiento de búfer en DirectX (MS03-030) 4 - Múltiples vulnerabilidades en SQL Server (MS03-031) 5 - W32/Babybear.A. Borra antivirus, corrompe FAT16 6 - Troj/BackDoor.AQH. Troyano de acceso remoto _____________________________________________________________ 1 - Ni Susto ni Muerte... Tomadura de pelo _____________________________________________________________ http://www.vsantivirus.com/cs-susto-muerte.htm Ni Susto ni Muerte... Tomadura de pelo Por Carlosues carlosues@videosoft.net.uy Voy a empezar esta reflexión haciendo referencia a "Una copia de software sin ánimo de lucro no es delito", http://www.vsantivirus.com/susto-muerte.htm#ley. Como se puede ver es una sentencia firme (que por lo tanto sienta jurisprudencia) y que nos dice que usar un P2P no es delito. Pero hay varias clases de delito. Los hay perseguibles a instancia de parte (por perjuicio de derechos o económicos). Pero lo que no es de recibo, es que la parte que me quiere perseguir no dé la cara. Es decir, argumenta el Sr. Ribas en todas sus fabulosas amenazas (que no otra cosa son), que las 32 empresas permanecerán en el anonimato...¿¿??. ¿Quién me va a acusar?. ¿En nombre de quién?. Porque aunque al abogado se le otorga un "poder para pleitos", siempre tiene que actuar "en nombre y representación DE". ¿Admitirá algún Juez con cara y ojos una acusación anónima?. Creo sinceramente que estamos ante, o bien una actuación magistral pagada por alguna empresa "anónima" pero que todos conocemos para asustar a los padres e impedir que sus hijos descarguen mp3... o, y esto ya sería mas grave si cabe, ante una actuación engañosa destinada a cobrar una minuta escandalosa sin posibilidades de llegar a ninguna parte. El tiempo lo dirá, solo otra reflexión. Desde que el libro se popularizó a nivel de calle (dejó de ser un objeto al alcance de pocos y en monasterios y algo mas), se crearon las bibliotecas. Incluso las editoriales, una vez alcanzado el cupo de ventas, calculado para esa obra, facilitan ejemplares a esas bibliotecas. Indudablemente había (y hay) lectores de un libro al mes y otros de un libro al día. ¿Alguna vez se discriminó a alguno?. Después conocimos las casetes y los reproductores-grabadores. ¿Cuántos de Uds. se han puesto a cantar delante del aparato para grabar una casete?. Pocos. Lo normal era grabar cintas para los amiguetes. Tampoco vi ningún impuesto especial ni que se pusieran en contra de dichas reproductoras-grabadoras (prácticamente todas las cadenas podían grabar). Pero con la nuevas tecnologías hablamos de millones de personas (las mismas que antes grababan casetes) y sobre todo hablamos de tiempo real y eso duele. Pero yo no veo que los cines estén vacíos. Se sigue hablando de recaudaciones récord, de ventas millonarias de CDs... ¿Entonces?. Para quien es el susto... Para quien la muerte. Deberían pensar que si desencadenan fobias, se pueden volver contra ellos. Recordar las recomendaciones antiamericanas (que muchos todavía siguen) por la guerra de Irak. * Referencias: ¿Susto o muerte? http://www.vsantivirus.com/susto-muerte.htm ENEMIGO PUBLICO http://www.vsantivirus.com/ai-enemigo-publico.htm España: cuatro años de prisión para usuarios de P2P http://www.vsantivirus.com/20-07-03.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Denegación de servicio en Windows NT Server (MS03-029) _____________________________________________________________ http://www.vsantivirus.com/vulms03-029.htm Denegación de servicio en Windows NT Server (MS03-029) Por Lissette Zapata liszapata@videosoft.net.uy MS03-029 Denegación de servicio en Windows NT Server http://www.microsoft.com/security/security_bulletins/ms03-029.asp Sistemas afectados: Microsoft Windows NT Server 4.0 Microsoft Windows NT Terminal Server 4.0 Windows NT 4.0 server y Microsoft Windows NT 4.0 Terminal Server Edition son vulnerables a un ataque de denegación de servicio (DoS), debido a un error en la validación de la entrada de ciertos datos de la función de manejo de archivos. Esto puede ocasionar la falla de la aplicación, si un atacante ingresa datos creados maliciosamente. Aunque la función afectada no es accesible en forma remota, las aplicaciones instaladas que pueden ser accedidas de esa manera, podrían hacer uso de dicha función. Internet Information Server 4.0 (IIS 4.0) no hace uso de la función afectada, pero se conecta a aplicaciones que si lo hacen. Esta vulnerabilidad está catalogada como moderada. Los parches pueden descargarse de los siguientes enlaces [debe pegar cada enlace en un solo renglón]: Microsoft Windows NT 4.0 Server http://microsoft.com/downloads/details.aspx?FamilyId=8FF8CA3E -D546-4FAF-851F-FFBE2490B901&displaylang=en NT 4.0 Terminal Server Edition http://microsoft.com/downloads/details.aspx?FamilyId=5C46460D -3887-4D5F-B142-F505BB208797&displaylang=en Aunque ambos enlaces llevan a la pagina donde esta la actualización en inglés, se puede encontrar también la actualización en español, seleccionando el idioma que le corresponde en la casilla que esta a la derecha de dicha pagina donde dice seleccione su idioma. Más información: http://www.microsoft.com/technet/security/bulletin/ms03-029.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Desbordamiento de búfer en DirectX (MS03-030) _____________________________________________________________ http://www.vsantivirus.com/vulms03-030.htm Desbordamiento de búfer en DirectX (MS03-030) Por Lissette Zapata liszapata@videosoft.net.uy MS03-030 Desbordamiento de búfer en DirectX http://www.microsoft.com/security/security_bulletins/ms03-030.asp Sistemas afectados: Microsoft DirectX 5.2 Microsoft DirectX 6.1 Microsoft DirectX 7.0 Microsoft DirectX 7.0a Microsoft DirectX 8.1 Microsoft DirectX 9.0a Microsoft Windows Media Player 6.4 Microsoft Windows NT 4.0 Microsoft Windows NT Terminal Server 4.0 Dos fallas reportadas en DirectX, permiten a un atacante ejecutar código en el sistema del usuario, comprometiendo su seguridad. La vulnerabilidad permite que un atacante cause que la función DirectShow o una aplicación que haga uso de ella, falle. Un ataque exitoso, puede permitir al atacante la ejecución de código en el equipo de su víctima, dentro del contexto de seguridad del usuario, o sea con todos sus privilegios. DirectX consiste en un paquete de APIs (Application Programming Interfaces), utilizadas por los programas bajo Windows como soporte multimedia. Dentro de DirectX, la tecnología DirectShow, permite la manipulación de fuentes de audio y sonido del lado del cliente. Dos desbordamientos de búfers con idénticos efectos en la función utilizada por DirectShow, ocurren al no ser chequeados ciertos parámetros en archivos MIDI (Musical Instrument Digital Interface). Un posible atacante puede explotar esta falla para ejecutar código en forma arbitraria en el contexto de seguridad del usuario. Para ello, debe crear un archivo MIDI modificado especialmente. El atacante podría enviar un mensaje a su víctima, con el archivo MIDI embebido, o tentarla para que visite un sitio web con alguna página malévola. El simple hecho de visualizar el mensaje o la página, desencadena el ataque. Esta vulnerabilidad está catalogada como crítica. Los sitios donde puede obtener los diferentes parches son [debe pegar cada enlace en un solo renglón]: Microsoft DirectX 5.2, DirectX 6.1 y DirectX 7.0a en Windows 98, Windows 98 SE y Windows Millennium Edition (solo esta disponible en ingles): http://microsoft.com/downloads/details.aspx?FamilyId=141D5F9E -07C1-462A-BAEF-5EAB5C851CF5&displaylang=en Nota: Los usuarios de Windows 98, Windows 98 SE y Windows Milenium que están ejecutando DirectX 9.0a deben actualizarse a DirectX 9.0b. Microsoft DirectX 7.0 en Windows 2000 (seleccionar español) http://microsoft.com/downloads/details.aspx?FamilyId=7D0E4787 -A993-4C49-A5A7-9A6DE8EFDB9E&displaylang=en Microsoft DirectX 8.1 en Windows XP 32-bit Edition http://microsoft.com/downloads/details.aspx?FamilyId=5ABA6A3B -F67B-4B18-B4B5-62E69A0104CE&displaylang=en Microsoft DirectX 8.1 en Windows XP 64-bit Edition (solo inglés, francés, alemán y japonés) http://microsoft.com/downloads/details.aspx?FamilyId=8F23F7AF -5317-4502-8B17-7C1A2139EBDC&displaylang=en Microsoft DirectX 8.1 en Windows Server 2003 32-bit Edition (seleccionar español) http://microsoft.com/downloads/details.aspx?FamilyId=A5156FF8 -1812-4DB4-9175-BF9CA370279D&displaylang=en Microsoft DirectX 8.1 en Windows Server 2003 64-bit Edition (solo inglés, francés, alemán y japonés) http://microsoft.com/downloads/details.aspx?FamilyId=59732FCF -993A-45E8-8BA4-064575055D86&displaylang=en Microsoft DirectX 9.0a. Todas las versiones de Windows (seleccionar español): http://microsoft.com/downloads/details.aspx?FamilyId=22F990CB -E9F9-4670-8B4F-AC4F6F66C3A2&displaylang=en Microsoft Windows NT 4.0 (seleccionar español): http://microsoft.com/downloads/details.aspx?FamilyId=E238B8A1 -4146-400A-A6F6-68E0D3B44163&displaylang=en Microsoft Windows NT 4.0, Terminal Server Edition (solo inglés, francés, alemán y japonés): http://microsoft.com/downloads/details.aspx?FamilyId=BC72BE54 -081D-43AE-B9C9-D08496C03BA3&displaylang=en Sobre DirectX 9.0b: El DirectX 9.0b ha sido liberado al mismo tiempo que el boletín de seguridad MS03-030 de Microsoft, y contiene todos los arreglos discutidos en dicho boletín. DirectX 9.0b puede instalarse en todas las versiones de Windows excepto WINDOWS NT 4.0 y puede descargarse de los siguientes enlaces: Todas las versiones de Windows, excepto Windows NT 4.0 (solo está disponible para inglés): http://microsoft.com/downloads/details.aspx?FamilyId=141D5F9E -07C1-462A-BAEF-5EAB5C851CF5&displaylang=en Notas: DirectX 9.0b puede instalarse en los siguientes sistemas: Windows 98, 98 SE, Millennium Edition, 2000 SP3, XP, XP SP1, Server 2003. El parche para DirectX 9.0a puede ser instalado en los siguientes sistemas operativos: Windows 98, 98 SE, Millennium Edition, 2000 SP3, XP, XP SP1, Server 2003. El parche para DirectX 8.1 puede ser instalado en los siguientes sistemas operativos: Windows XP Gold, XP SP1, Server 2003 Gold El parche para DirectX 7.0 puede ser instalado solo en Windows 2000 Service Pack 3. El parche para Windows NT 4.0 puede ser instalado en Windows NT 4 Service Pack 6a, y NT 4 Service Pack 6, Terminal Server Edition. Más información: http://www.microsoft.com/technet/security/bulletin/ms03-030.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Múltiples vulnerabilidades en SQL Server (MS03-031) _____________________________________________________________ http://www.vsantivirus.com/vulms03-031.htm Múltiples vulnerabilidades en SQL Server (MS03-031) Por Lissette Zapata liszapata@videosoft.net.uy MS03-031 Múltiples vulnerabilidades en Microsoft SQL Server http://www.microsoft.com/security/security_bulletins/ms03-031.asp Sistemas afectados: Microsoft Data Engine 1.0 Microsoft Data Engine 2000 Microsoft SQL Server 2000 Microsoft SQL Server 2000 Desktop Engine Microsoft SQL Server 7.0 Múltiples vulnerabilidades han sido detectadas en SQL Server, las que permiten que un atacante pueda hacer que el sistema afectado se congele y deje de responder, u obtener los mismos niveles de permisos de un usuario que intente conectarse al servidor. Como SQL Server está incluido en varios productos construidos en base a dicha tecnología, esta vulnerabilidad es catalogada como importante, ya que permite a un atacante ejecutar cualquier código de su elección en el sistema vulnerable. Los sitios donde puede obtener los parches para resolver esta vulnerabilidad son [debe pegar cada enlace en un solo renglón]: Microsoft SQL Server 7.0 http://microsoft.com/downloads/details.aspx?FamilyId=FE5B0892 -A5C9-44C2-9B42-0D291E9C1636&displaylang=en Microsoft SQL 2000 32-bit Edition http://microsoft.com/downloads/details.aspx?FamilyId=9814AE9D -BD44-40C5-ADD3-B8C99618E68D&displaylang=en Los enlaces llevan a las páginas donde se encuentran las actualizaciones en inglés, pero se pueden localizar también las actualizaciones en español, seleccionando el idioma que le corresponde en la casilla que está a la derecha de cada página, donde dice "Seleccione su idioma". Microsoft SQL 2000 64-bit Edition http://microsoft.com/downloads/details.aspx?FamilyId=72336508 -057A-4E86-8F2E-CB1BD3A6A44B&displaylang=en Este es el único enlace que no tiene actualización en español. Más información: http://www.microsoft.com/technet/security/bulletin/ms03-031.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Babybear.A. Borra antivirus, corrompe FAT16 _____________________________________________________________ http://www.vsantivirus.com/babybear-a.htm Nombre: W32/Babybear.A Tipo: Gusano de Internet Alias: W32.Babybear@mm Fecha: 23/jul/03 Plataforma: Windows 32-bit Tamaño: 204,800 bytes Este gusano, escrito en Visual Basic, se envía en forma masiva por correo electrónico, y puede sobrescribir y borrar archivos del sistema que impedirán el funcionamiento del antivirus de Symantec, si éste se encuentra instalado en la máquina infectada. También puede propagarse por redes P2P. Si la computadora tiene un disco con FAT16 (por ejemplo instalaciones antiguas de Windows 95 con discos menores de 512 Mb), la estructura del mismo puede quedar seriamente dañada. Los mensajes tienen estas características: Versión 1: Asunto: Please Confirm Texto: Dear Sir or Madame, We have detected that you have placed a Order for Msn8. Before we start your Service please confirm your order. To confirm your order please check the attachement. Thanks, Microsoft Corporation Support Versión 2: Asunto: File You Requested Texto: Hey Here is the file you wanted Datos adjuntos (204,800 bytes): [uno de los siguientes] attachment.exe avril vs. madonna video.exe defrag.exe file manager program.exe fnotrepad.exe jnotepad.exe knotepad.exe lnotepad.exe microsoft corporation.exe modem booster.exe msn 8 full.exe ngotrepad.exe nhotrepad.exe njotepad.exe nkotepad.exe nlotepad.exe nodtrepad.exe nogtrepad.exe nojtepad.exe noktepad.exe noltepad.exe noqtepad.exe nortepad.exe norton anti-virus 2003 cracked!.exe notejpad.exe notekpad.exe notelpad.exe notepad.exe notepadj.exe notepadk.exe notepadl.exe notepadq.exe notepadw.exe notepajd.exe notepakd.exe notepald.exe notepaqd.exe notepawd.exe notepjad.exe notepkad.exe noteplad.exe notepqad.exe notepwad.exe noteqpad.exe notewpad.exe notjepad.exe notkepad.exe notlepad.exe notqepad.exe notrefpad.exe notrepad.exe notrepad.exe notrepad.exe notrepad.exe notrepad.exe notrepad.exe notrepad.exe notrepad.exe notrepadg.exe notrepadr.exe notrepagd.exe notrepajd.exe notrepard.exe notrepatd.exe notrepdad.exe notrerpad.exe notretpad.exe notrtepad.exe noturepad.exe notwepad.exe nowtepad.exe nqotepad.exe nrotepad.exe nrotrepad.exe ntotrepad.exe nwotepad.exe qnotepad.exe rnotepad.exe virtual sex.exe welcome.exe windows xp home edition key gen.exe windows xp home edition sp1 serial.exe wnotepad.exe wscript.exe Cuando el adjunto se ejecuta, el gusano se copia a si mismo en las siguientes ubicaciones, creando las carpetas que no existan. Si alguno de los archivos existe, es sobrescrito: c:\attachment.exe c:\jnotepad.exe c:\knotepad.exe c:\lnotepad.exe c:\my shared folder\avril vs. madonna video.exe c:\my shared folder\file manager program.exe c:\my shared folder\modem booster.exe c:\my shared folder\msn 8 full.exe c:\my shared folder\norton anti-virus 2003 cracked!.exe c:\my shared folder\virtual sex.exe c:\my shared folder\windows xp home edition key gen.exe c:\my shared folder\windows xp home edition sp1 serial.exe c:\njotepad.exe c:\nkotepad.exe c:\nlotepad.exe c:\nojtepad.exe c:\noktepad.exe c:\noltepad.exe c:\noqtepad.exe c:\nortepad.exe c:\notejpad.exe c:\notekpad.exe c:\notelpad.exe c:\notepad.exe c:\notepadj.exe c:\notepadk.exe c:\notepadl.exe c:\notepadq.exe c:\notepadw.exe c:\notepajd.exe c:\notepakd.exe c:\notepald.exe c:\notepaqd.exe c:\notepawd.exe c:\notepjad.exe c:\notepkad.exe c:\noteplad.exe c:\notepqad.exe c:\notepwad.exe c:\noteqpad.exe c:\notewpad.exe c:\notjepad.exe c:\notkepad.exe c:\notlepad.exe c:\notqepad.exe c:\notrepad.exe c:\notwepad.exe c:\nowtepad.exe c:\nqotepad.exe c:\nrotepad.exe c:\nwotepad.exe c:\qnotepad.exe c:\rnotepad.exe c:\windows\defrag.exe c:\windows\fnotrepad.exe c:\windows\notrefpad.exe c:\windows\notrepad.erxe c:\windows\notrepad.exe c:\windows\notrepad.exef c:\windows\notrepadg.exe c:\windows\notrepadr.exe c:\windows\notrepagd.exe c:\windows\notrepajd.exe c:\windows\notrepard.exe c:\windows\notrepatd.exe c:\windows\notrerpad.exe c:\windows\notretpad.exe c:\windows\start menu\programs\startup\microsoft corporation.exe c:\windows\systefm\notrepad.exe c:\windows\systegfm\notrepad.exe c:\windows\system\microsoft.ini.exe c:\windows\system\ngotrepad.exe c:\windows\system\nhotrepad.exe c:\windows\system\nodtrepad.exe c:\windows\system\nogtrepad.exe c:\windows\system\notrepad.exe c:\windows\system\notrepdad.exe c:\windows\system\notrtepad.exe c:\windows\system\noturepad.exe c:\windows\system\nrotrepad.exe c:\windows\system\ntotrepad.exe c:\windows\welcome.exe c:\windowsf\notrepad.exe c:\wnotepad.exe c:\wscript.exe También crea más de 220 carpetas vacías en el raíz de la unidad C, con los siguientes nombres (esto corrompe un sistema antiguo, con FAT16 instalado): c:\$nprogram files\system c:\2coding7 c:\2program files\system c:\3coding51 c:\c2oding1 c:\c4oding67 c:\cchoding74 c:\ccoding55 c:\ccoding67 c:\ccoding74 c:\ccodinllg74 c:\ccodlling67 c:\ccoduuing55 c:\cczhoding74 c:\chcoding67 c:\cjroding466 c:\cnoding1 c:\co2ding2 c:\co4ding74 c:\cod2ing3 c:\codi2ng4 c:\codi3ng11 c:\codin2g5 c:\codin3g23 c:\codincg11 c:\codincg23 c:\codincgkk23 c:\codincguu11 c:\codinchg11 c:\codincyg23 c:\codinczyg23 c:\coding1 c:\coding11 c:\coding12 c:\coding142 c:\coding17 c:\coding2 c:\coding23 c:\coding23j c:\coding26 c:\coding2c3 c:\coding2ch3 c:\coding3 c:\coding31 c:\coding331 c:\coding4 c:\coding411 c:\coding42 c:\coding432 c:\coding44 c:\coding44c c:\coding44j c:\coding466 c:\coding4c2 c:\coding4cy2 c:\coding4czy2 c:\coding4t4 c:\coding5 c:\coding51 c:\coding51c c:\coding55 c:\coding55t c:\coding5r1 c:\coding6 c:\coding67 c:\coding67r c:\coding7 c:\coding74 c:\coding7n c:\coding7xn c:\codingc12 c:\codingc12uu c:\codingc31 c:\codingc31kk c:\codingch12 c:\codingcy31 c:\codingczy31 c:\codingd2 c:\codingd2yy c:\codingf1 c:\codingn6 c:\codingr42 c:\codings3 c:\codings4 c:\codingsy4 c:\codingt23 c:\codingxn6 c:\codingys3 c:\codingyyf1 c:\codinkkcg11 c:\codinng4 c:\codinng5 c:\codinrg31 c:\codintg12 c:\codinxng5 c:\codinycg11 c:\codinygd2 c:\codinzg466 c:\codinzycg11 c:\codinzzg67r c:\codirng23 c:\codirng2xx3 c:\coditng11 c:\codixnng4 c:\codiyngf1 c:\codiyyng17 c:\codizng55t c:\codizngsy4 c:\codning3 c:\codring11 c:\codrinxxg11 c:\codsing5 c:\codsing5y c:\codsing6 c:\codsinjjg6 c:\codsizng5y c:\codsjjing5 c:\codxning3 c:\codzing4t4 c:\codzingys3 c:\codzzing5r1 c:\cojjdings4 c:\cojrding17 c:\collding51c c:\conding2 c:\cording17 c:\cording1uu7 c:\couuding44c c:\coxnding2 c:\coyyding466 c:\cozdingt23 c:\cozdinygd2 c:\croding466 c:\crodinuug466 c:\csoding7 c:\csoding7jj c:\cysoding7 c:\cysodinzg7 c:\czhcoding67 c:\czodintg12 c:\czodiyngf1 c:\czzodingr42 c:\h2elp c:\hcoding51cy c:\hcoding51zcy c:\hechlp8 c:\heclp8 c:\heczhlp8 c:\hel4p8 c:\heljrp1 c:\help c:\help1 c:\help8 c:\helrp1 c:\helrp1uf c:\heslp c:\heyslp c:\hezyslp c:\hlueclp8 c:\htelp8 c:\htelpz8 c:\hyelp1 c:\jccoding55 c:\jjcodings3 c:\kkheslp c:\llcoding4c2 c:\nprogram files\system c:\pro3gram files\system1 c:\progchra1m files\system c:\progcra1m files\system c:\progcuura1m files\system c:\progdram files\system1 c:\progr4a1m files\system c:\progra1m files\system c:\program files\system c:\program files\system1 c:\progrgam files\system c:\progydram files\system1 c:\progyyrgam files\system c:\progzydram files\system1 c:\prokkgdram files\system1 c:\protgra1m files\system c:\protgraz1m files\system c:\proygrgam files\system c:\prrogram files\system1 c:\prroxxgram files\system1 c:\rhelp c:\tcoding17 c:\tcoding74 c:\tcodinzg17 c:\tcodizngzz74 c:\th3e sims c:\the 2sims c:\the 4s1ims c:\the jr2sims c:\the r2sims c:\the rddaljflajflkjorjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj2sims c:\the s1ims c:\the sims c:\thec s1ims c:\thech s1ims c:\theczzh s1ims c:\thes sims c:\theuuc s1ims c:\theys sims c:\thezys sims c:\thkes sims c:\thte s1ims c:\thte sz1ims c:\thye 2sims c:\thye 2szims c:\thyye 2sims c:\trhe sims c:\trxxhe sims c:\uucoding2c3 c:\xxrhelp c:\ycodsing6 c:\ycodsizng6 c:\yycoding55 c:\yyhelp1 c:\zcodinrg31 c:\zcoditng1z1 c:\zproygrgam files\system Mientras está ejecutándose, borra continuamente todos los archivos con las siguientes extensiones, de la carpeta "Symantec Shared" y sus subcarpetas (c:\program files\common files\symantec shared), incluso los archivos nuevos que son creados o copiados en la máquina con el gusano activo: .cat .dat .dll .exp .inf .sys .txt .vxd Si el antivirus de Symantec está instalado en dichas carpetas, el mismo queda deshabilitado. También modifica el registro de Windows para autoejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Msgmgr = [camino y nombre del gusano] Microsoft Corporation = [camino y nombre del gusano] Muestra ventanas de mensajes con los siguientes textos: Application Error Missing .Dll File [ OK ] From the Creators of BugBear [ OK ] Finalmente, se envía a todos los contactos de la libreta de direcciones de Windows en mensajes como los ya vistos. * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Borrado manual de las carpetas creadas por el gusano Desde el Explorador de Windows, localice y borre las 223 carpetas vacías indicadas en la descripción. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Msgmgr Microsoft Corporation 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - Troj/BackDoor.AQH. Troyano de acceso remoto _____________________________________________________________ http://www.vsantivirus.com/back-aqh.htm Nombre: Troj/BackDoor.AQH Tipo: Caballo de Troya de acceso remoto Alias: BackDoor-AQH Fecha: 23/jul/03 Plataforma: Windows 32-bit Aunque este troyano no es nuevo, Network Associates ha reportado que se ha estado distribuyendo recientemente en forma de spam, en un mensaje que simula ser una alerta del soporte de McAfee. El troyano no se adjunta al mensaje, pero si se proporciona un enlace en el falso mensaje a un sitio web desde donde se descarga el mismo. El falso mensaje tiene estas características: [ver imagen en http://www.vsantivirus.com/back-aqh.htm] De: McAfee Team [support@McAfee.com] Asunto: Download and run Installer_exe ! Texto (en formato HTML): New worm found! Please download and run the Installer.exe to delete the worm or to prevent him from ever infecting you. Virus Profile Virus Information Name: W32/Sobig.e@MM Risk Assessment - Home Users: High - Corporate Users: High Date Discovered: 6/25/2003 Date Added: 6/25/2003 Origin: Unknown Length: 86,528 (.pif) bytes 82,340 (.zip) bytes Type: Virus SubType: Internet Worm DAT Required: 4273 Our specialists recommendations : run our own disinfection program to prevent infection DOWNLOAD INSTALLER.EXE BY CLICKING HERE La infección se produce si el usuario pincha en el enlace mencionado, descarga y luego ejecuta el archivo descargado. Cuando ello sucede, se crea el siguiente archivo: c:\windows\system\thrh1033.dll NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). También se crean las siguientes entradas en el registro para ejecutar al DLL en cada reinicio: HKU\[ID]\CLSID \{10193F30-1559-6F09-051B-700B2B614800}\InProcServer32 (Predeterminado) = c:\windows\system\thrh1033.dll Donde [ID] es el identificador del usuario, que varía en cada instalación. HKCU\Software\Classes\CLSID \{10193F30-1559-6F09-051B-700B2B614800}\InProcServer32 (Predeterminado) = c:\windows\system\thrh1033.dll HKCR\CLSID \{10193F30-1559-6F09-051B-700B2B614800}\InProcServer32 (Predeterminado) = c:\windows\system\thrh1033.dll HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\ShellServiceObjectDelayLoad Windows Development Features = {10193F30-1559-6F09-051B-700B2B614800} En cada reinicio, el troyano queda activo en memoria, conectándose a un canal determinado de IRC (Internet Relay Chat), y quedando a la espera de instrucciones de un usuario remoto. Utiliza por defecto el puerto TCP/6667. Las direcciones de los servidores IRC son las siguientes: 194.109.129.220 66.150.99.99 204.92.73.10 206.84.2.2 El usuario remoto podrá descargar y ejecutar archivos, o configurarlo como servidor para que funcione como Proxy, lo que permite utilizarlo para lanzamiento de SPAM, etc. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_USERS \[ID del usuario] \CLSID \{10193F30-1559-6F09-051B-700B2B614800} 3. Pinche en la carpeta "{10193F30-1559-6F09-051B- 700B2B614800}" y bórrela. 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Classes \CLSID \{10193F30-1559-6F09-051B-700B2B614800} 5. Pinche en la carpeta "{10193F30-1559-6F09-051B- 700B2B614800}" y bórrela. 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \CLSID \{10193F30-1559-6F09-051B-700B2B614800} 7. Pinche en la carpeta "{10193F30-1559-6F09-051B- 700B2B614800}" y bórrela. 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \ShellServiceObjectDelayLoad 9. Pinche en la carpeta "ShellServiceObjectDelayLoad" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows Development Features 10. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1112 Año 7, Jueves 24 de julio de 2003

VSAntivirus y VSAyuda son servicios gratuitos de Video Soft Computación
Bergalli 462, Maldonado - Uruguay - Tel. 598 (42) 22 29 35