Mostrando mensaje 162     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1113 Año 7, Viernes 25 de julio de 2003 Fecha: Viernes, 25 de Julio, 2003  05:36:27 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1113 Año 7, Viernes 25 de julio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Denegación de servicio en Outpost Firewall 2 - La estafa del premio de la Lotería. Nuevos ejemplos 3 - EMule seduce a los aficionados al P2P 4 - La "Libertad" económica en Europa 5 - Troj/Bambo.A. Roba información de WebMoney Keeper _____________________________________________________________ 1 - Denegación de servicio en Outpost Firewall _____________________________________________________________ http://www.vsantivirus.com/vul-dos-outpostpro.htm Denegación de servicio en Outpost Firewall Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Agnitum Outpost Firewall PRO 1.0.1817 es vulnerable a un ataque de denegación de servicio. Agnitum Outpost Personal Firewall PRO (existe también una versión gratuita), es un potente y avanzado cortafuego de uso personal, que protege nuestro PC de ataques de troyanos y otras amenazas externas, además de poder ser configurado por medio de plug-ins para tareas como detección de intrusos, filtros de diferentes clases, vigilancia del correo electrónico, bloqueo anti spam (elimina banners y ventanas pop-ups) y control de privacidad. Se ha reportado recientemente (24/7/03), una vulnerabilidad en esta aplicación, que la hace propensa a un ataque de denegación de servicio (DoS). Esta falla posibilitaría que un usuario sin privilegios, pueda detener el servicio del cortafuego, lanzando una nueva aplicación de redes y seleccionando la opción "Exit and stop service". Esto dejaría al usuario desprotegido ante cualquier otra clase de ataque posterior a través de la red. No existe aún una solución para esta falla, de la que no se han revelado mayores detalles. Tampoco existe ningún exploit conocido a la fecha. El aviso de la falla, cuyo descubrimiento ha sido atribuido a Dmitry Apraksin <my_choice@rambler.ru>, ha sido publicado en ruso en el siguiente enlace: http://www.security.nnov.ru/search/news.asp?binid=3009 Referencias: http://www.protegerse.com/outpost/index.html (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=209 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - La estafa del premio de la Lotería. Nuevos ejemplos _____________________________________________________________ http://www.vsantivirus.com/scam-loteria.htm Análisis de un SCAM: La estafa del premio de la Lotería Por Jose Luis Lopez videosoft@videosoft.net.uy Se han agregado dos nuevos ejemplos de la estafa de la lotería. Los mismos hacen referencia a "Sea Field Ventures" (Ejemplo 6) y "Universal Stakes Lottery" (Ejemplo 7). En todos los casos, es común denominador es un mensaje donde se nos avisa que somos los "felices" ganadores de una fortuna en la lotería de algún país casi siempre lejano. Jamás responda este tipo de mensajes, o podría ser víctima de una estafa. Vea el artículo completo con todos los detalles en http://www.vsantivirus.com/scam-loteria.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - EMule seduce a los aficionados al P2P _____________________________________________________________ http://www.vsantivirus.com/mm-emule.htm EMule seduce a los aficionados al P2P Por Mercè Molist (*) colaboradores@videosoft.net.uy Va de casualidades: al mismo tiempo que la ciencia consigue clonar una mula, el programa de moda para compartir archivos de música, vídeo y texto en redes de pares (P2P) se llama eMule, "la mula electrónica" o "la mulita", como dicen cariñosamente sus muchos "fans". EMule es un programa de código libre para bajar y subir archivos de la red eDonkey2000, más popular en Europa que FastTrack, la red del famoso programa KaZaA, que recientemente conseguía el récord histórico de descargas en Download.com: 229 millones. Una cifra que no sorprende a los optimistas creadores y usuarios de P2P. Todo empezó con Napster. Un servidor central de donde la gente se bajaba canciones. Siguieron Gnutella, WinMX... pero fue KaZaA quien se llevó el gato al agua de la popularidad en la segunda generación de programas P2P: los que ya no funcionan con servidor central sino con múltiples servidores, gestionados por usuarios avanzados. Como hizo con Napster, la industria audiovisual norteamericana se lanzó contra KaZaA y, aunque la última sentencia exime al programa de lo que hagan con él los usuarios, sigue la batalla. Mientras, cada vez más gente se pasa a otras redes, no tan conflictivas por el momento, que marcan el salto a la tercera generación P2P. "La red ed2k (eDonkey2000) ha estado siempre por debajo, en usuarios, de otras redes más famosas. Sólo ahora, con la persecución de éstas, empieza a crecer", explica Dawuid, de emulEspaña. DrSiRiUs, creador de eMule Plus, ve otra explicación: "KaZaA tiene mucha historia a sus espaldas y una gran comunidad, aunque con material menos específico. Si un italiano/alemán/francés/español quiere buscar un archivo en su idioma, no usará KaZaA sino eMule. KaZaA tiene mucho material en inglés, pero la red eDonkey2000 cuenta con más archivos de todos los tipos y en todos los idiomas". Añade Molgar, de emulEspaña: "Y está orientada a archivos de gran tamaño". La de KaZaA es, además, una red contaminada: de virus, de anuncios de Microsoft, de archivos falsos que dicen ser lo que no son o de la posibilidad que la Recording Industry Association of America (RIAA) te mande un mensaje amenazando con denunciarte. eDonkey2000, dicen, lava más limpio gracias a una de sus funcionalidades: los "elinks" o enlaces que, desde una página web, llevan a un sitio en la red P2P, usando la convención ed2k:// en vez de http://. Esto ha provocado la aparición de muchas webs donde se ofrecen "elinks", enlaces directos a discos y películas, sin usar buscadores y con más seguridad. Lo explica DrSiRiUs: "La gente suele localizar las cosas desde los enlaces, esto garantiza en cierta medida que, antes de ponerlo, alguien ha comprobado que se trata del archivo correcto. Además, hay multitud de sitios que se dedican exclusivamente a informar sobre "fakes" (archivos falsos). eMule ha incorporado servicios que permiten consultar desde el cliente si el archivo que estamos bajando es un "fake". Por otra parte, tenemos la capacidad de previsualizar casi todo tipo de archivos, así podemos comprobar si se trata del que buscamos". La red eDonkey2000 empezó a popularizarse a partir del 2001, con un programa cliente del mismo nombre, que ha sido prácticamente sustituido por eMule, de código libre y para Windows y GNU/Linux. Dawuid explica: "El cliente eDonkey es un programa gratuito pero con publicidad. Con el tiempo, dejó de ser desarrollado a favor de otro que utilizaba una filosofía diferente, conocido como Overnet (red de tercera generación, en pruebas, que funciona sin servidores). Entonces apareció el programador Merkur, con eMule, un proyecto en código abierto con muchas mejoras. Hoy, entre un 85 y un 95% de los clientes que se utilizan en la red eDonkey2000 son eMule". "La mulita", con diez millones de descargas, es el segundo programa más bajado en Sourceforge, el sitio que aloja éste y otros muchos proyectos, como Bit Torrent, un cliente P2P que empieza a hacerle la competencia. La ventaja de los programas de código libre es que cualquier programador puede modificarlos y distribuir la nueva versión, lo que ha hecho surgir decenas de mutaciones de eMule, retocadas técnica y estéticamente, algunas con más éxito que el original, como eMule Plus, de DrSiRiUs. DrSiRiUs había trabajado antes con el primer equipo del eMule original, diseñando gráficos e iconos. También Juanjo, programador. Aunque hoy lo han dejado, es difícil encontrar proyectos internacionales con tanta presencia inicial española. Además, dice Dawuid: "Hay una gran cantidad de españoles con un muy alto nivel en el área de versiones modificadas". Los enumera Symbol: "Tarod, drLSD (con su Mod LSD), Athlazan (modificando el Mod Sivka), Don Gato (eMule Plus), jicxicmic...". Sin olvidar a beta-testers, traductores, decenas de webs repletas de "elinks", algunas especializadas y otras que canalizan la comunidad, con foros, manuales, recomendaciones, etc. Es el caso de emulEspaña, nacida en noviembre de 2002 como la página personal de Symbol: "Actualmente, hay varios administradores en todas las áreas, muchos colaboradores y moderadores y muchísima gente interesada", explica. Sus visitantes tienen entre 20 y 30 años. Sobre todo hombres. El 91% proviene de Europa, concretamente España. También en la web de eMule Plus destaca la procedencia española, con el 20,5% de visitas, aunque lo superan los alemanes, con el 30,3%. Alemania y España son los países con más fiebre de "mulita". "Tenemos el ADSL más caro de Europa y la gente quiere sacarle el mejor partido", dice DrSiRiUs. eDonkey2000 no ha sufrido aún ataques legales ni tecnológicos, pero a finales del año pasado, en Dinamarca, un grupo llamado Antipiratgruppen conseguía que la policía cerrase diversos servidores de esta red, entrando físicamente en el hogar de sus propietarios. Recientemente, otro servidor, Razorback, ubicado en Suiza y con capacidad para 100.000 usuarios, recibía una carta incriminatoria de una empresa especializada en luchar contra el P2P. Es todo lo que pueden hacer, dice Dawuid: "La red ed2k tiene un complejo entramado, con una gran cantidad de nodos, cada uno de ellos ubicados en entornos legales diferentes. Esto se lo pone muy difícil a las grandes compañías. Por eso han pasado a buscar al individuo, a castigarle por distribuir material con derechos". Para el creador de eMule Plus: "Cada vez está más claro el hecho de que los programas P2P no son ilegales en sí mismos, cada uno debe responder del uso que le da; no se debe bajar contenido con derechos a no ser que sea como copia de seguridad del original que el usuario debe haber adquirido legalmente. Además, eMule no tiene ningún propósito comercial, es de código abierto. El P2P es la primera auténtica revolución dentro de la propia Internet y hay que saber entenderla". La opinión de la comunidad P2P es que las empresas tienen la batalla perdida de antemano porque, hoy, estas redes están más preparadas para afrontar acusaciones de organizaciones como la RIAA: con su actual estructura, que cierren algunos servidores no sirve de nada, siempre pueden surgen otros. Eso piensa ZoLk!eN: "La estrategia de la RIAA es penosa y acabará desapareciendo. Saben que no tienen nada que hacer. El P2P es el futuro y vamos a ganar, si no lo hemos hecho". Y Molgar: "El camino para combatir la piratería no pasa por acabar con las redes de pares sino por intentar adaptarse al medio". Matiza Alfema: "Me deprime que la industria gaste el dinero en persecuciones y no en abaratar precios y crear webs de venta de música. Igualmente, también es triste ver el consumismo de gran cantidad de usuarios de eDonkey". Para curarse en salud, la mayoría de webs con "elinks" avisan de que el material es sólo para copias de seguridad. Lo explica Symbol: "El servidor de emulEspaña no almacena ningún contenido con 'copyright'. Únicamente pone los medios para que personas con un producto original puedan tener una copia de seguridad de ese producto, cosa que está amparada por la ley, aunque los fabricantes intenten que no se realice. ¿Esto se usa para otros fines? Desde luego. Al igual que la gente se salta las normas de tráfico, pero no es culpa de la Dirección General de Tráfico ni de las carreteras". Recientemente, se conocía un nuevo proyecto: el eMule híbrido, que funcionaría en redes diferentes y no sólo eDonkey2000. Hay ya otros esfuerzos en este sentido. Uno de los más conseguidos, según DrSiRiUs, es Shareaza: "Gratuito y sin programas espía, es capaz de compartir entre las redes Gnutella1, Gnutella2, eDonkey y Bit Torrent. Los programas siguen mejorando y su evolución pasa por soportar múltiples redes y no necesitar de servidores". Acaba Symbol: "La tendencia global, en definitiva, es a homogeneizar todas las redes en una. Y aunque no sea así, será el cliente -eMule o el que sea- el que accederá a todas las redes automáticamente, por lo que para el usuario parecerá que sólo existe una". * EL TRIUNFO DEL CLON DrSiRiUs es un diseñador gráfico malagueño de 26 años, autor de la más popular versión modificada de eMule: eMule Plus. Ahora retirado, vivió buenos tiempos con el primer equipo de programadores de eMule, diseñando sus iconos, logotipo y mascota. Pero llegaron las diferencias y DrSiRiUs decidía "tomar mi propia iniciativa y crear una MOD cuya principal premisa fuera mejorar al máximo el aspecto gráfico y la usabilidad". Era octubre del 2002. "Solicité ayuda en los foros y entró en escena mi principal colaborador, FoRcHa, un programador austríaco. Durante semanas estuvimos desarrollando la MOD, que lanzamos desde una página gratuita. El número de usuarios fue creciendo, en noviembre nos aliamos con los creadores de otros MOD. Así, eMule Plus ya no era sólo una modificación estética sino con mejoras a todos los niveles. Aquí hay que destacar a Don Gato, un argentino cuya labor fue esencial. En diciembre, superamos en popularidad a eMule". eMule Plus acabó separándose de la línea oficial, para dejar de ser una MOD y tener status propio, lo que aumentó la complejidad del proyecto, que hoy coordina el israelita Kuchin, desde Sourceforge: "Ahora, cuenta con más desarrolladores que la versión oficial y una comunidad en los foros bastante importante, con ayudas en inglés y español. Se lo habrán bajado millones de personas. Es una de las MOD más usadas y muchas de las cosas presentes en el cliente oficial provienen de innovaciones que se hicieron en eMule Plus", explica DrSiRiUs. * Relacionados KaZaA http://www.kazaa.com Kazaa Lite http://www.kazaalite.com eDonkey2000 http://www.edonkey2000.com/ mlDonkey http://savannah.nongnu.org/projects/mldonkey/ eMule oficial http://www.emule-project.net Linux Mule http://lmule.sourceforge.net eMule Plus http://www.emuleplus.tk/ http://emuleplus.sourceforge.net/ emulEspaña http://www.emulespana.net Cifirip (ciencia-ficción) http://cifirip.tk eShock http://eshock.redtotalonline.com Spanishare http://www.spanishare.com Baul CVCD http://www.baulcvcd.com eDonkey Central http://www.edonkeycentral.com/ eMul Us http://www.emule.us Eemul.com http://www.eemule.com/ Sharereactor http://www.sharereactor.com Shareaza http://www.shareaza.com Overnet http://www.overnet.com Bit Torrent http://sourceforge.net/projects/bittorrent/ Bit Torrent FAQ http://www.dessent.net/btfaq/ Los mejores programas P2P según Terra http://www.terra.es/tecnologia/articulo/html/tec7976.htm P2P Directory http://www.openp2p.com/pub/q/p2p_category (*) Copyright (C) 2003 Mercè Molist. Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved. * A tener en cuenta: Las aplicaciones P2P que usted no debería usar http://www.vsantivirus.com/lista-p2p.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - La "Libertad" económica en Europa _____________________________________________________________ http://www.vsantivirus.com/cs-monopolios.htm La "Libertad" económica en Europa Por Carlosues carlosues@videosoft.net.uy Me levanto esta mañana y después de preparar los desayunos de mi madre y mío nos sentamos cómodamente a ver nuestro canal de naturaleza favorito... ¡Caramba!!! no sale nada. Pruebo con otro y tampoco, desenchufo el decodificador, lo vuelvo a enchufar y ya funciona pero... ¿Qué es esto? ¿Canal+? ¡¡Pero si yo tengo Vía Digital!!! Pues bien, repaso los canales y nos han dejado unos pocos de los que teníamos, toda la base de programación es la de Canal Satélite Digital, plataforma a la que no me apunté por no interesarme su oferta. Me informo detenidamente y veo que además se habla de "abono anual"... ¡¡Pero si yo pago por meses y decido cuando me doy de baja!!! Pues no, este es el resultado de la fusión entre las 2 únicas cadenas de televisión Digital por Satélite de España. Y... bueno, esto no es mas que otra anécdota de la tan cacareada "Libertad Económica" y que se supone combate los monopolios. Tenemos una compañía telefónica dominante y unas cuantas que dan servicio sobre las líneas de la anterior, teníamos muchas de cable pero Opa por aquí opa por allá, solo queda una que se ha adueñado de las demás. Aquí en Cataluña puedes cambiar de compañía eléctrica según la publicidad... Todas son de Endesa... No hace falta seguir aburriendo al personal, la lista sería muy larga, solo decir que algo huele a podrido... y esta vez no es en Dinamarca. * Relacionados [los enlaces deben escribirse en un solo renglón]: El 40% de los abonados a Vía Digital podría darse de baja de Digital+ http://www.noticiasdot.com/publicaciones/2003/0703/1907/notic ias190703/noticias190703-4.htm Digital+ incumple con su lanzamiento cinco condiciones que le fueron impuestas por el Gobierno http://www.noticiasdot.com/publicaciones/2003/0703/2307/notic ias230703/noticias230703-3.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Troj/Bambo.A. Roba información de WebMoney Keeper _____________________________________________________________ http://www.vsantivirus.com/bambo-a.htm Nombre: Troj/Bambo.A Tipo: Caballo de Troya Alias: W32.Bambo, Win32/Bambo.A Fecha: 2/jul/03 Plataforma: Windows 32-bit Tamaño: 16,384 bytes WebMoney es un sistema global de pago disponible para usuarios de cualquier parte del mundo, y es utilizado tanto para uso particular como para negocios, ya que permite enviar y recibir pagos de dinero en forma inmediata. Este es un caballo de Troya que intenta el robo de la información almacenada en las máquinas de los usuarios del servicio WebMoney Keeper, tanto en archivos relacionados, como mediante la captura del contenido del portapapeles y de todo lo tecleado. Cuando se ejecuta (generalmente es enviado camuflado como alguna clase de aplicación), el troyano crea los siguientes archivos: c:\windows\dllreg.exe c:\windows\system\load32.exe c:\windows\system\vxdmgr32.exe c:\windows\menú inicio\programas\inicio\rundllw.exe Donde "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "c:\winnt", "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Y la carpeta de inicio (c:\windows\menú inicio\programas\inicio), puede ser alguna de las siguientes: Windows 95, 98 y Me: c:\windows\menú inicio\programas\inicio c:\windows\all users\menú inicio\programas\inicio Windows XP y 2000: c:\documents and settings \[usuario]\menú inicio\programas\inicio c:\documents and settings \all users\menú inicio\programas\inicio Windows NT: c:\winnt\profiles \[usuario]\menú inicio\programas\inicio c:\winnt\profiles \all users\menú inicio\programas\inicio Luego, el troyano crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run load32 = c:\windows\system\load32.exe También modifica el archivo WIN.INI, agregando la siguiente línea para ejecutarse en cada reinicio, cuando se utiliza Windows 95, 98 y Me: run = c:\windows\dllreg.exe Modifica además la siguiente línea en el archivo SYSTEM.INI, también para ejecutarse al comienzo en Windows 95, 98 y Me: shell = explorer.exe c:\windows\system\vxdmgr32.exe El troyano crea además el siguiente archivo, y lo ejecuta: c:\windows\sysdrv.exe Este archivo finaliza cualquiera de los siguientes procesos que se estuvieran ejecutando en la máquina infectada, quitando la protección antivirus y otro software de seguridad instalado: _avp32.exe _avpcc.exe _avpm.exe Agentsvr.exe Anti-trojan.exe Ants.exe Aplica32.exe Apvxdwin.exe Atcon.exe Atupdater.exe Atwatch.exe Autoupdate.exe Avconsol.exe Avp.exe Avp32.exe Avpcc.exe Avpcc.exe Avpm.exe Avsynmgr.exe Blackd.exe Blackice.exe Cfiadmin.exe Cfiaudit.exe Cfinet.exe Cfinet32.exe Cleaner.exe Cleaner3.exe Defwatch.exe Drwatson.exe Fast.exe Frw.exe Fsav.exe Guard.exe Iamapp.exe Iamserv.exe Icload95.exe Icloadnt.exe Icmon.exe Icsupp95.exe Icsuppnt.exe Lockdown.exe Lockdown2000.exe Luall.exe Lucomserver.exe Mcagent.exe Mcupdate.exe Mgui.exe Minilog.exe Moolive.exe Msconfig.exe Mssmmc32.exe Navapw32.exe Navw32.exe Navw32.exe Ndd32.exe Netstat.exe Nisserv.exe Nisum.exe Nmain.exe Nprotect.exe Nsched32.exe Nvarch16.exe Pavproxy.exe Pcciomon.exe Pcfwallicon.exe Persfw.exe Poproxy.exe Pview95.exe Regedit.exe Rtvscn95.exe Safeweb.exe Sphinx.exe Spyxx.exe Ss3edit.exe Sysedit.exe Taumon.exe Tc.exe Tca.exe Tcm.exe Tds2-98.exe Tds2-nt.exe Tds-3.exe Trjscan.exe Update.exe Update.exe Vpc42.exe Vptray.exe Vsecomr.exe Vshwin32.exe Vsmain.exe Vsmon.exe Vsstat.exe Watchdog.exe Webscanx.exe Wgfe95.exe Wradmin.exe Wrctrl.exe Wrctrl.exe Zapro.exe Zatutor.exe Zauinst.exe Zonealarm.exe Si el sistema operativo es Windows 95, 98 o Me, también crea la siguiente entrada en el registro: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices ZoneAlarm 2.99 = c:\windows\sysdrv.exe Esto repite el proceso de eliminación de antivirus y cortafuegos, cada vez que Windows se reinicia. Finalmente, comienza a registrar todas las teclas pulsadas por el usuario infectado, captura el contenido del portapapeles, y busca archivos con extensión .KWM y .PWM, utilizados por el software WebMoney Keeper para almacenar sus datos. Toda la información capturada es enviada a una dirección electrónica determinada en su código. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Remoción del troyano utilizando "Process Explorer" Antes de eliminar este troyano, es necesario detener su ejecución en memoria. Puede usarse el administrador de tareas de Windows, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE. Bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer", localice y "mate" (Kill Process), el/los siguientes procesos: load32.exe dllreg.exe vxdmgr32.exe sysdrv.exe rundllw.exe * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\sysdrv.exe c:\windows\dllreg.exe c:\windows\system\load32.exe c:\windows\system\vxdmgr32.exe También borre el archivo RUNDLLW.EXE de cualquiera de las siguientes carpetas en que aparezca: Windows 95, 98 y Me: c:\windows\menú inicio\programas\inicio c:\windows\all users\menú inicio\programas\inicio Windows XP y 2000: c:\documents and settings \[usuario]\menú inicio\programas\inicio c:\documents and settings \all users\menú inicio\programas\inicio Windows NT: c:\winnt\profiles \[usuario]\menú inicio\programas\inicio c:\winnt\profiles \all users\menú inicio\programas\inicio Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: load32 4. Si tiene Windows 95, 98 o Me instalado, en el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: ZoneAlarm 2.99 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Editar el archivo WIN.INI y SYSTEM.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [Windows] run=c:\windows\dllreg.exe Debe quedar como: [Windows] run= 3. Grabe los cambios y salga del bloc de notas. 4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter. 5. Busque lo siguiente: [boot] shell=explorer.exe c:\windows\system\vxdmgr32.exe y déjelo así: [boot] shell=Explorer.exe 6. Grabe los cambios y salga del bloc de notas 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1113 Año 7, Viernes 25 de julio de 2003