|
Mostrando mensaje 1415
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No 2363 Año 11, sábado 3 de febrero de 2 007 | | Fecha: | Sabado, 3 de Febrero, 2007 06:01:50 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No 2363 Año 11, sábado 3 de febrero de 2007
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Reportado nuevo ataque Zero-day a Microsoft Office
2 - Fujacks.AE. Se propaga por redes e infecta archivos
3 - BHO.NAF. Agrega un objeto BHO oculto, usa rootkit
4 - Banwarum.I. Se propaga usando mensajes en alemán
_____________________________________________________________
1 - Reportado nuevo ataque Zero-day a Microsoft Office
_____________________________________________________________
http://www.vsantivirus.com/vul-office-cve-2007-0671.htm
Reportado nuevo ataque Zero-day a Microsoft Office
Por Angela Ruiz
angela@videosoft.net.uy
Microsoft ha publicado una alerta relacionado con un reporte
de ataques del tipo Zero-day, que utilizan una nueva
vulnerabilidad en Microsoft Office 2000, Microsoft Office XP,
Microsoft Office 2003, y Microsoft Office 2004 para Mac.
Aunque el vector de ataque reportado, hace referencia a un
documento de Microsoft Excel modificado maliciosamente, otros
documentos de la suite Office podrían ser utilizados.
Para que el ataque tenga éxito, el usuario debe abrir el
documento, generalmente enviado como adjunto en un correo
electrónico no solicitado. Cuando ello ocurre, un
desbordamiento de búfer puede corromper la memoria operativa
de la aplicación de Office afectada, pudiendo permitir la
ejecución arbitraria de código.
Software afectado:
- Office 2000
- Office XP
- Office 2003
- Office 2004 para Mac
Esta vulnerabilidad no puede ser explotada en Office 2007, ni
tampoco en Works 2004, 2005, o 2006.
Se recomienda no abrir documentos de Office de fuentes no
seguras, o recibidos como adjuntos en correos electrónicos no
solicitados, sin importar su remitente.
Tampoco se deberán seguir enlaces embebidos en mensajes no
solicitados (un exploit puede activarse por el simple hecho
de visualizar un documento de Office ubicado en una página
Web). Para evitarlo se recomienda deshabilitar la apertura
automática de archivos de Office al hacer clic en enlaces de
páginas de Internet.
Por defecto Microsoft Office 2000 (y Office 97), configuran
el Internet Explorer para abrir automáticamente documentos de
Office en páginas Web. Esta característica puede ser
deshabilitada por la herramienta para confirmar que se desea
abrir un documento de Office:
http://www.microsoft.com/downloads/details.aspx?familyid=
8B5762D2-077F-4031-9EE6-C9538E9F2A2F&displaylang=es
Esta herramienta evita la apertura automática de documentos
avisando a los usuarios antes de abrir documentos de Office
desde Internet Explorer.
También se recomienda mantener actualizado su software
antivirus.
La vulnerabilidad está relacionada con la siguiente
referencia CVE:
CVE-2007-0671
VML Buffer Overrun Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0671
CVE (Common Vulnerabilities and Exposures), es la lista de
nombres estandarizados para vulnerabilidades y otras
exposiciones de seguridad que han tomado estado público, la
cuál es operada por cve.mitre.org, corporación patrocinada
por el gobierno norteamericano.
* Referencias:
Microsoft Security Advisory (932553)
Vulnerability in Microsoft Office Could Allow Remote Code
Execution
http://www.microsoft.com/technet/security/advisory/932553.mspx
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Fujacks.AE. Se propaga por redes e infecta archivos
_____________________________________________________________
http://www.vsantivirus.com/fujacks-ae.htm
Nombre: Fujacks.AE
Nombre NOD32: Win32/Fujacks.AE
Tipo: Gusano y virus infector de ejecutables
Alias: Fujacks.AE, Generic2.NFH,
GenPack:Generic.Malware.SPBdldPkg.6E47A779, TR/Pakes.A.1201,
Trj/QQPass.PT, Trojan.Pakes, Trojan.SystemPoser,
Trojan.Win32.Pakes, Trojan.Win32.Pakes.1043, W32.Fujacks.D,
W32/Fujacks.k, W32/Pakes!tr, W32/Trojan.PGY,
Win32.HLLP.Whboy, Win32.Pakes, Win32/Fujacks,
Win32/Fujacks.AE, Win32:Delf-BCN, Worm.W32.Fujacks.D,
Worm.Win32.Small.n
Fecha: 3/feb/07
Plataforma: Windows 32-bit
Tamaño: 35,328 bytes (BAMBAM)
Gusano e infector de archivos ejecutables, que se propaga a
través de recursos compartidos en redes con contraseñas
débiles (unidades mapeadas y carpetas compartidas), y discos
removibles (memorias USB, etc.).
También intenta descargar otros archivos para instalarlos en
los equipos infectados.
Actúa como un virus del tipo parásito (parasitic virus). Este
tipo de virus requieren de un portador (o host) para
propagarse. Se adjunta a archivos de programas y se activa
cuando los programas son ejecutados.
Cuando se ejecuta por primera vez, crea el siguiente archivo:
c:\windows\system32\Drivers\spoclsv.exe
Puede crear también los siguientes archivos:
[Letra unidad de disco]\setup.exe
[Unidad de red]\Fujacks.exe
[Unidad de red]\GameSetup.exe
c:\windows\system32\FuckJacks.exe
c:\windows\system32\spoclsv.exe
También crea los siguientes archivos en el directorio raíz de
las unidades mapeadas:
[Letra unidad de disco]\setup.exe
[Letra unidad de disco]\autorun.inf
[Letra unidad de disco]\setup.inf
Se copia en todas las carpetas de inicio de Windows, y en
todos los equipos accesibles que comparten recursos. De ese
modo, se ejecutará en cada reinicio.
También agrega algunas de las siguientes entradas en el
registro con el mismo objetivo de ejecutarse automáticamente
cada vez que se reinicia Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
FuckJacks = "c:\windows\system32\FuckJacks.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
svohost = "C:\WINDOWS\system32\FuckJacks.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
svcshare = "c:\windows\system32\spoclsv.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
svohost = "c:\windows\system32\FuckJacks.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
svohost = "C:\WINDOWS\system32\FuckJacks.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
svcshare = "c:\windows\system32\spoclsv.exe"
Intenta finalizar todos los procesos activos, cuyos nombres
contengan algunas de las siguientes cadenas de texto:
esteem procs
IceSword
iDuba
msctls_statusbar32
pjf(ustc)
QQAV
QQKav
Symantec AntiVirus
VirusScan
Winsock Expert
Wrapped gift Killer
Finaliza los siguientes procesos:
CCenter.exe
FrogAgent.exe
KRegEx.exe
KVCenter.kxp
KvMonXP.kxp
KVSrvXP.exe
KVXP.kxp
Logo_1.exe
Logo1_.exe
Mcshield.exe
naPrdMgr.exe
Rav.exe
Ravmon.exe
Ravmond.exe
RavmonD.exe
RavStub.exe
RavTask.exe
Rundl123.exe
scan32.exe
TBMon.exe
TrojDie.kxp
UIHost.exe
UpdaterUI.exe
VsTskMgr.exe
Finaliza los siguientes servicios:
AVP
ccEvtMgr
ccProxy
ccSetMgr
FireSvc
kavsvc
KPfwSvc
KVSrvXP
KVWSC
McAfeeFramework
McShield
McTaskManager
MskService
navapsvc
NPFMntor
SNDSrvc
SPBBCSvc
Symantec Core LC
wscsvc
Borra las siguientes entradas en el registro, en las claves
HKCU \Software \Microsoft \Windows \CurrentVersion \Run y
HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \Run:
kav
KAVPersonal50
KvMonXP
McAfeeUpdaterUI
Network Associates Error Reporting Service
RavTask
ShStatEXE
yassistse
YLive.exe
Borra los archivos con las siguientes extensiones, del
directorio raíz de todas las unidades de disco locales
(excepto el disco C):
.com
.exe
.gho
.pif
.scr
* Reparación manual
NOTA: Debido a la acción destructiva del virus, los archivos
que hayan sido borrados por el mismo, deberán ser
reemplazados desde un respaldo anterior limpio, o por medio
de la reinstalación de los programas afectados.
* Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32,
seleccione el Control Center, Módulos de actualización, NOD32
Update y haga clic en el botón "Actualizar ahora". Compruebe
que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en
http://www.vsantivirus.com/nod32.htm
2. Desconecte su computadora o su red local de Internet.
Físicamente desconecte el cable del ADSL o de la red
telefónica.
3. Deshabilite los recursos compartidos, o coloque
contraseñas fuertes para todos los recursos (NOTA: una
contraseña "fuerte" significa el uso de números y letras, con
más de 8 o 10 caracteres).
4. Borre los archivos temporales como se indica en el
siguiente enlace:
http://www.vsantivirus.com/faq-borrar-temporales.htm
5. Seleccione la opción "Analizar y Desinfectar
automáticamente" en su antivirus. En el caso de ESET NOD32,
seleccione Control Center, NOD32 Scanner, haga clic en el
botón "NOD32 Scanner", seleccione la casilla "Local", y haga
clic en el botón "Analizar y desinfectar".
6. En el caso de NOD32, haga clic en el botón "Desinfectar"
cuando aparezca, o en el botón "Eliminar" cuando el botón
"Desinfectar" no esté activo. En cualquier otro caso, el
antivirus le dará el mensaje "sin acciones" y la limpieza se
efectuará al reiniciar.
7. Reitere los pasos anteriores en todos sus equipos y
reinicie las computadoras desinfectadas.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar
automáticamente" en todas sus computadoras.
9. Habilite los recursos compartidos, mantenga las
contraseñas fuertes para todos los recursos.
10. Reconecte la conexión a Internet.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 6 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 6 del ítem
"Antivirus".
6. Cierre el editor del registro.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - BHO.NAF. Agrega un objeto BHO oculto, usa rootkit
_____________________________________________________________
http://www.vsantivirus.com/bho-naf.htm
Nombre: BHO.NAF
Nombre NOD32: Win32/BHO.NAF
Tipo: Caballo de Troya
Alias: BHO.NAF, Adware.Virtumonde, Adware.Vundo.Gen!Pac3,
Bloodhound.Packed.10, Generic2.YOC, TR/Vundo.Gen,
Trojan.Virtumod, Trojan.Vundo.W, Trojan/Worm,
VIPRE.Suspicious, Win32/BHO.NAF
Fecha: 2/feb/07
Plataforma: Windows 32-bit
Tamaño: 277,057 bytes
Caballo de Troya que instala un componente BHO (Browser
Helper Object). Un objeto BHO es un DLL que se adjunta a si
mismo a cada nueva instancia del Internet Explorer, pudiendo
ejecutar eventos predeterminados.
Contiene algunas características de rootkit para evitar ser
fácilmente detectado. Es utilizado generalmente para la
descarga de publicidad no deseada u otros malwares similares.
Puede ser descargado de sitios de Internet o redes P2P, o
llegar como adjunto en un spam, o en un correo electrónico
con un enlace a una página de descarga. También puede ser
propagado en foros, etc.
Cuando se ejecuta, crea un DLL con un nombre que puede
variar, en el siguiente enlace:
c:\windows\system32\[nombre].dll
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Para registrar el DLL como un objeto BHO, el troyano crea las
siguientes entradas en el registro:
HKCR\CLSID\{72A3F257-E13D-4285-AA9B-57BD7B659CD8}
HKCR\CLSID\{77B97866-F977-451A-8285-F6BC84601C8A}
HKCR\Interface\{F291308E-EA5A-46DA-82F5-1A5A9D54B793}
HKCR\[nombre].Downloader.1\
HKCR\[nombre].Downloader\
HKCR\[nombre].ShellDownload.1\
HKCR\[nombre].ShellDownload\
HKCR\TypeLib\{6F58CB8C-EF33-4064-8754-17E024DCDD9F}
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{77B97866-F977-451A-8285-F6BC84601C8A}
También puede crear la siguiente entrada:
HKCR\*\shellex\ContextMenuHandlers\ShellDownload
(Predeterminado) = {72A3F257-E13D-4285-AA9B-57BD7B659CD8}
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32,
seleccione el Control Center, Módulos de actualización, NOD32
Update y haga clic en el botón "Actualizar ahora". Compruebe
que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en
http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el
siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar
automáticamente" en su antivirus. En el caso de ESET NOD32,
seleccione Control Center, NOD32 Scanner, haga clic en el
botón "NOD32 Scanner", seleccione la casilla "Local", y haga
clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar"
cuando aparezca, o en el botón "Eliminar" cuando el botón
"Desinfectar" no esté activo. En cualquier otro caso, el
antivirus le dará el mensaje "sin acciones" y la limpieza se
efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o
eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar
automáticamente".
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 6 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\*
\shellex
\ContextMenuHandlers
\ShellDownload
3. Haga clic en la carpeta "ShellDownload" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{72A3F257-E13D-4285-AA9B-57BD7B659CD8}
5. Haga clic en la carpeta "{72A3F257-E13D-4285-AA9B-
57BD7B659CD8}" y bórrela.
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
\{77B97866-F977-451A-8285-F6BC84601C8A}
7. Haga clic en la carpeta "{77B97866-F977-451A-8285-
F6BC84601C8A}" y bórrela.
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\Interface
\{F291308E-EA5A-46DA-82F5-1A5A9D54B793}
9. Haga clic en la carpeta "{F291308E-EA5A-46DA-82F5-
1A5A9D54B793}" y bórrela.
10. En el panel izquierdo del editor, haga clic en la
siguiente rama:
HKEY_CLASSES_ROOT
11. Busque las siguientes subcarpetas y bórrelas:
[nombre].Downloader.1
[nombre].Downloader
[nombre].ShellDownload.1
[nombre].ShellDownload
12. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\TypeLib
\{6F58CB8C-EF33-4064-8754-17E024DCDD9F}
13. Haga clic en la carpeta "{6F58CB8C-EF33-4064-8754-
17E024DCDD9F}" y bórrela.
14. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Browser Helper Objects
\{77B97866-F977-451A-8285-F6BC84601C8A}
15. Haga clic en la carpeta "{77B97866-F977-451A-8285-
F6BC84601C8A}" y bórrela.
16. Grabe los cambios y salga del bloc de notas.
17. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Banwarum.I. Se propaga usando mensajes en alemán
_____________________________________________________________
http://www.vsantivirus.com/banwarum-i.htm
Nombre: Banwarum.I
Nombre NOD32: Win32/Banwarum.I
Tipo: Gusano de Internet
Alias: Banwarum.I, Win32/Banwarum.I
Fecha: 5/ene/07
Actualizado: 3/feb/07
Plataforma: Windows 32-bit
Gusano que se propaga por correo electrónico, en mensajes que
incluyen asuntos y textos diferentes, todos en alemán.
Algunos de estos textos están relacionados con el pasado
campeonato mundial de fútbol Alemania 2006.
Los textos de los mensajes están contenidos en formato texto,
o en formato GIF -una imagen del texto- visible solo si se
lee el mensaje en formato HTML. En todos los casos, los
textos incluyen una contraseña que permite abrir el adjunto
en formato .ZIP o .RAR protegido por clave (el archivo
contiene un .EXE con el mismo nombre).
El archivo .EXE presenta una doble extensión, agregando
cierta cantidad de espacios entre las dos, para engañar al
usuario y hacerle creer que se trata de una inofensiva
imagen. Por ejemplo:
Tickets.gif .exe
free_videos.gif .exe
Cuando el EXE es ejecutado, el siguiente archivo es creado en
el sistema:
c:\windows\system32\mszsrn32.dll
Este DLL es inyectado en el mismo proceso de WINLOGON.EXE, de
tal forma que queda oculto mientras se está ejecutando en un
equipo infectado. Esto también asegura que vuelva a
ejecutarse cada vez que el equipo se reinicia. Para ello, la
siguiente entrada es creada en el sistema:
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\mszsrn32
Dentro de la clave MSZSRN32, son creadas varias entradas que
el gusano utiliza para su ejecución:
Asynchronous = "1"
DllName = "c:\windows\system32\mszsrn32.dll"
Impersonate = "0"
Startup = "Startup"
Type = "2"
El gusano intenta conectarse a determinados sitios de
Internet via HTTP (TCP 80). Puede enviar información del
equipo infectado, o descargar archivos que contengan nuevas
instrucciones para su funcionamiento.
Algunas de esas direcciones:
http: // 5dime.net/
http: // 7stick.biz/
http: // 7stick.info/
http: // brancholania.biz/
http: // brancholania.net/
http: // frachetto.com/
http: // frachetto.info/
http: // monti2.com/
http: // olania.com/
http: // olania.net/
También puede abrir una puerta trasera por un puerto
seleccionado al azar.
Para propagarse por correo electrónico, el gusano utiliza su
propio motor SMTP.
Para obtener direcciones electrónicas, examina todos los
archivos en todas las unidades de disco del sistema que
posean las siguientes extensiones:
.adb
.asa
.asc
.asm
.asp
.cgi
.con
.csp
.csv
.dbx
.dlt
.doc
.dwt
.edm
.hta
.htc
.htm
.html
.inc
.jsp
.jst
.lbi
.php
.rdf
.rss
.sht
.ssi
.stm
.tbb
.tbi
.txt
.vbp
.vbs
.wml
.xht
.xls
.xml
.xsd
Los mensajes que utiliza para propagarse tienen las
siguientes características:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
1000 Euro von der Postbank
Adressanten Umsonst mein Arschficken ab 18 Jahren!
akte
Anzeige ist erstatet
Betrueg bitte deine Frau mit mir!
Bitte stoppen Sie es
Bums eine Schwarze und gewinne WM-Karten!
Bums mein Arsch!
BundesKriminalAmt
Das Geld das nicht mir gehoert
Du bist mein Sexgott!
Du machst mich so Geil!
Du Sexgott!
Ermittlungsverfahren wurde eingeleitet
Es ist AUS!
Es ist ein Missverstaendnis geschehen
Es leuft mir schon das bein Runter Honey!
Falscher Adressant
Falschueberweisung
Fasches Bankkonto
Fick mein Po!
Ficke meine Brust!
Geld
Geld von Postbank
Geldueberweisungen
Gewonnen? GeWONNEN!
Guten Tag
Guten Tag! Hier sind ihre WM Tickets!
Hallo!
Hier sind ihre WM Tickets!
Hoer auf damit!
Holen sie jetzt ihre WM Tickets ab!
Holen sie sich WM Tickets fuer das Finalle JETZT!
Ich bin dauergeill warum?
Ich hab die neuen Fotos Fertig!
Ich hab ihr Geld.
Ich habe Geld von ihren Postbank Konto bekommen
Ich lauf aus bitte leck mich!
Ich liebe dich!
Ich zeige dich an!
Ich Zeige sie an!
Ihr Geld
Ihr Geld, Postbank
Ihre Akte!
Ihre Auszahlungen an mich
Ihre IP wurde geloggt!
JehhuuuU! WWWMMMM!!
Komme mit!
Lass dich Umsonst Wixen! Nur ab 18 Jahren!
Missueberweisungen
Nimm mich durch mein Schadz!
Postbank
Postbank Ueberweisungen
Sie besitzen Raubkopien
Sie betrueger!
Sie haben WM Tickets gewonnen!
Sie kommen ins Knast!
Treibs mit einer schlampe!
Uberweisungen
Ueberweisung an einen falschen
Ueberweisung an einen falschen Adressanten
Umsonst mein Arschficken ab 18 Jahren!
Warum machst du das?
Warum schicken sie mir Geld?
Weltmeisterschaft!
WM Tickets!
Texto del mensaje: [uno de los siguientes textos]
Ejemplo 1:
Sehr geehrte Damen und Herren,
vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto
bekommen und ich wuerde sie gern Fragen wie es dazu kam.
Iich danke Ihnen, aber es musste warscheinlich ein Fehler
unterlaufen denn ich kenne Sie nicht und Sie kennen mich
nicht.
Wie koennen wir diesen Missverstaendnis loesen? Am besten
rufen Sie mich bitte an wenn es moeglich ist. Meine
Telefonnummer lautet 035/98276590
Ich habe ein Abbild von dem Ueberweisungslog gemacht,
dabei habe ich aus versehentlichen Gruenden ein Password
darauf gelegt, er lautet [contraseña]
Mit Freundlichen Gruessen
Manfred Schmidt
Ejemplo 2:
Sehr geehrte Damen und Herren,
seit Gestern bekomme ich andauernt Geld von Ihnen, ich
danke sehr, aber ich glaube es ist ein Fehler unterlaufen.
Ich habe ein Konto bei der Postbank und es lautet
48756830000443 Bankleitzahl: 94775775
Bitte ueberpruefen Sie ihre Auszahlungen und rufen sie
mich unter folgender
Nummer an 056/48576887 damit wir besprechen koennen wie
ich Ihr Geld zurueckzahlen koennte.
In dem Anhang habe ich eine Kopie der Ueberweisung
gemacht, Kennwort fuer das Archiv lautet [contraseña]
Mit freundlichen Gruessen
Mattias Botcher
Ejemplo 3:
Sehr geehrte Damen und Herren,
warum schicken Sie mir ihr Geld? Ich bedanke mich bei
ihnen, aber es gehoert nicht mir und ich brauche es auch
nicht, also koennen Sie es bitte lassen?
Meine Kontonummer bei der Postbank 83475687345
Bankleitzahl: 4655437
In dem Attach haben sie ein Log von den Ueberweisungen die
sie gemacht haben.
Password dafuer lautet [contraseña]
Mit freundlichen Gruessen
Gerhard Meyer
Ejemplo 4:
Sehr geehrte Damen und Herren,
ich bevorzuge ihre friedliche Ansichten, aber wir sind
keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie
die Geldueberweisungen zu beenden. Wir wuerden gerne alles
zurueck zahlen was sie an uns bereits abschickten.
In dem Dateianhang lieg der Log von der Postbank, das
Kennwort fur den Archiv lautet [contraseña]
Mit freundlichen Gruessen
Ingrid Behnke
Ejemplo 5:
Sehr geehrte Damen und Herren,
ich will Sie darauf aufmerksam machen, das Sie
ununterbrochen Geld an uns abschicken. Es ist wirklich
erfreulich, aber das Geld gehoert uns nicht und wir
wuerden gerne alles zurueck zahlen.
Ein Kopie von der Ueberweisung liegt in dem Anhang, das
Kennwort dafuer lautet [contraseña]
Mit freundlichen Gruessen
Anne Flachman
Ejemplo 6:
Hi,
thx das du Geld an mich schicks, aber kannste damit auf
hoeren?
Hier eine Kopie des Kontoauszugs von der Postbank in dem
Anhang. Password: [contraseña]
mfg Henry
Ejemplo 7:
Hallo,
sie schicken viel Geld an mir, das mir, nicht mein ist.
Ich haben eine Posdbank Account. Ich schicken alles an du
zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.
Hier eine Anhang mit der Ueberweisung. Password dafuer
lautete [contraseña]
Have a nice day
John Walthers
Ejemplo 8:
Sehr geehrte Damen und Herren,
wir laden Sie rechtherzlich zu unseren Â"Gewinne WM
TicketsÂ" Aktion. Alles was dafuer zu machen brauchen ist
dieses Formular auszufuellen. Das eine Euro das Sie uns
schicken wird viele Kinder der dritten Welt erfreuen.
Das Kennwort fuer den Formular lautet [contraseña]
Herzlichen Dank
Bathe Maune
Ejemplo 9:
Sehr geehrte Damen und Herren,
Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles
was jetzt noch zu machen ist, das Formular in dem Anhang
auszufuellen und Sie sind dabei! Verpassen Sie ihre
einmalige Chance nicht!
Anhangspassword: [contraseña]
Mit freundlichen Gruessen
Lotto-GDI GmbH
Ejemplo 10:
Hi, du hast mich mal bei irgendeinem Online-Dating, ich
hab gesagt du bist haesslich und geblockt, Sorry,.. Du
bist nicht haesslich, ich war einfach mies drauf. Ich will
es wiedergut machen, lade dich damit zu WM, Tickets habe
ich ins Attach gelegt, entpacke es und druecks aus.
Password fuer den Archiv lautet [contraseña]
mfg Nadine
Ejemplo 11:
Hi man,
ich hab gesehen, das du zu WM wolltest, frag nicht wer ich
bin und warum ich es mache. Hier hast du 5 Stueck, das ist
eine spezielle Online Version, drueck es aus und
unterschreib.
Password zu dem Archiv lautet [contraseña]
Mfg Niemand ;)
Ejemplo 12:
Sehr geehrte Damen und Herren,
Sie haben ein Multi-WM-Ticket gewonnen! Mit diesem
Ultimativen Ticket koennen sie so viele wie sie wollen zu
dem WM Spiel einladen! Alles was sie zu machen brauchen
ist diesen einen Anhang entpacken und ihre Unterschriften
darauf schreiben. Das Kennwort fuer den Anhang lautet
[contraseña]
Mit freundlichen Gruessen
WM
- Free Tickets Organisation (kurz gesch. WMFTO)
Ejemplo 13:
Sehr geehrte Damen und Herren,
ich habe vor kurzem 7 WM Tickets fuer meine ganze Familie
gekauft, aber wie es sich rausstellte koennen wir wegen
politischen Hintergrunden nicht an WM teilnehmen. Deswegen
bekommen sie es jetzt. Brauchen sie jetzt nicht zu danken,
denn wenn sie jetzt diesen Brief lesen, sind wir schon in
einem anderen Land.
Die Tickets koennen Sie an der Siemens Rezeption abholen,
hierzu benoetigte Adresse Habichstra?e 356, Koeln. Wir
wuenschen ihnen von der ganzen Familie gutes Spiel.
In dem Anhang haben sie ein Foto von den Tickets, Password
fuer den Archiv lautet [contraseña]
Mit freundlichen Gruessen
Salim Heraldulkalam
Ejemplo 14:
Sehr geehrte Damen und Herren,
danke das Sie bei unserer Lotterie mitgemacht haben, und
wir wollen sie damit benachrichtigen, dass Sie GEWONNEN
HABT!
Alles was jetzt noch zu machen ist, schnell die Tickets
ausfuellen und zu WM gehen!
Dateianhangspassword: [contraseña]
Mit freundlichen Gruessen
Lotterie-NOD GmbH
Ejemplo 15:
Hi Schadz ich schreib aus den Inet cafe in Muenchen
meine neuen Fotos sind fertig und ich vermisse dich!
Die fotos sind gut geweorden ich hab das alles nur dier
zuliebe getann und das weisst du!
Die Fotos hab ich der Email beigefuegt ich hoffe du bist
zufrieden
ah ja und damit sie keiner ausser die oefnet hab ich ein
password
drauf gemacht das password ist mein name also:
[contraseña]
Mit liebe Monica
Ejemplo 16:
Hi sexgott ich bin so geil das ich nicht mehr kann
hier ein paar fotos wie ich grade abgehe!
das password fuer die fotos ist: [contraseña]
Gruesse Monica
Ejemplo 17:
Warum bin ich so dauergeil immer muss ich mir was in die
MuMu reinschieben
ist das vieleicht ungesund wenn ich dir banane rein tue
sie fuelt sich so gut an
was meinst du?
Guck dir meine Fotos an und sag bescheid!
das Password fuer die fotos ist: [contraseña]
geilen gruss
Tina
Ejemplo 18:
Oh BABY!!!
Ich bin so geil bitte fick mich
meine muschi leuft aus ich will dich o bitte
bitttte.........
hofffendlich bist du auch Geil wenn du meine Pics siehst
:P
habe dir paar neue mitgeschickt
das password ist: [contraseña]
bye bye
Ejemplo 19:
Ja ich bin deine HERRIN
aber du darfst trozdem mein Hintern ficken
ich weiss nicht warum aber das fuelt sich ueber geil an
mach das baby oder hast du keine lust?
Guck dir meine fotos an du wirst schon lust bekommen
das password fuer die pics ist: [contraseña]
cya dein bussi
Ejemplo 20:
Hi honey
wie findest du eigendlich das das deine Schwester so
Rumhurt?
ich mag sie voll gerne aber sie hat Robert den Afganer auf
party ein geblasen
und Tina hat das mit der kamera aufgenommen
es ist deine sache ob du das deinen Eltern zeigst aber das
video schick ich dir
das password dafuer ist : [contraseña]
Alles liebe
Ejemplo 21:
Warum betruegst du Albert?
Ich hab mir dir geschlafen und habe alles getann was du
wolltest und du du ficks meine schwester wo ich Zwei tage
zu Mama wegfahre?
Du bist der groesste Arschloch und es ist vorbei!
das video hat mir Tina geschickt wo du mit ihr gepoppt
hast und wie ihr das aufgenommen habt
das ist das Beweis und du wirst es noch sehen!
Das video schick ich mit der Email
das password was ich darauf gemacht habe ist: [contraseña]
Fick dich
Helena
Ejemplo 22:
Hallo Albert
Ich habe ein paar fotos fuer dich gemacht und wollte sie
dir schicken damit du mich nicht so vermisst ich bin in 2
wochen wieder da dann werde ich alle deine wuensche
erfuellen versprochen! Die fotos sind mit der emial
das password hab ich raufgemacht es lautet: [contraseña]
Ejemplo 23:
Willst du WM tickets gewinnen?
Dann sende uns eine ausgefueltte kopie des Geweinnzettel
und wir schicken dir 2 Tickets fuer das Finalle!
Der geweinnzettel ist beigefuegt!
Ihr persoenliches password lautet: [contraseña]
Ihr WM Team
Ejemplo 24:
Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist
illegal und somit strafbar. Wir moechten Ihnen hiermit
vorab mitteilen, dass Ihr Rechner unter der IP erfasst
wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen
Sie eingleitet.
Die Strafanzeige und die Moeglichkeit zur Stellungnahme
wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:# (siehe Anhang)
ACHTUNG: der Anhang ist Password geschuetzt
der Password fuer den Anhang (ihre Akte)
lautet: [contraseña]
bitte vergessen sie ihn nicht
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0
Ejemplo 25:
Guten Tag sehr geehrte Damen und Herren!
Meine Web-Site zeichnete Angriffe von ihrer IP Auf
Ich habe mich bei T-Com beschwert und ihre Email bekommen
bitte unterlassen sie alle angriffe auf meine Web-Site
die Anzeige ist erstatet! Die anklage schrift hab ich der
Email beigefuegt.
Password fuer die Anklageschrift lautet: [contraseña]
mfg
Karl Stein
Ejemplo 26:
Tina es ist schluss!
Unterlasse es mir die fotos zu schicken wir sind nicht
mehr zusammen und ich will dich nicht mehr nackt sehen!
Ich habe dich Angezeigt weil das einfach zu weit geht tut
mir leid!
Deine Fotos und die Kopie der Anzeige hab ich in der Email
beigefuegt!
damit deine Intimen fotos keiner sieht hab ich einen
password rauf gemacht
das password ist dein Name: [contraseña]
schreib nicht zurueck
Alexei
Ejemplo 27:
Sehr geehrte Frau Tisha
das Zuspammen von meiner Email mir ihren nacktfotos bleibt
nicht unbemerkt.
Heute Morgen erstattete ich eine Anzeige bei der BKA
Wiesbaden!
Meinen Anwahlt wurde die sache uebergeben!
Ich moechte mit ihnen nicht zu tunn haben und ihre
Nacktfotos
schick ich ihnen mit der Anklageschrift zurueck!
Die fotos und das schreiben hab ich der Email beigefuegt,
dass password lautet: [contraseña]
Bitte keine Fotos und Emails mehr
mfg
Kresen
Ejemplo 28:
Warum drohen sie mir hab ich ihnen was getann?
Ich wusste schon lange das Schwarze nicht erweunscht sind!
Ich habe sie bei der Polizei angezeigt sie werden sich um
sie kuemern
ich habe der email einen Anhang beigefuergt da drinne ist
eine Kopie der Anzeige
das password fuer die Anzeige lautet: [contraseña]
mfg
Ublaskar
Ejemplo 29:
Wir werden sehen ich sperre mich ein!
Sie drohen mir das sie mich aufschlitzen wollen?
Ich habe sie gestern Angeziegt und stehe unter Polizei
schutz!
Hier die letzte mahnung hab ich der Email beigefuegt!
das Password lautet: [contraseña]
Werner Blass
Ejemplo 30:
Die nacktfotos die ich von ihnen bekamm leitete ich an das
Kriminal Amt weiter!
Das ist Sexuelle belastigung!
Sie bekommen eine Anzeige und eine geldschtraffe
melden sie sich in den naexten tagen bei der Polzei!
Die vorladung und die Fotos als beweis hab ich der Email
beigefuegt
das password ist : [contraseña]
Emilion Volks
Datos adjuntos: [uno de los siguientes nombres]
Abbild-Der-Rechnung.???
Anhang.???
Anhang-Tickets.???
anklage.???
Anklage-Material.???
anklageschrift.???
Anzeige.???
archiv.???
Auszahlungen.???
bank-kontoauszuge.???
bescheinigung.???
beweise.???
bild01.???
Desktop.???
fick_mich.???
fickmich.???
fotze.???
free_pics.???
free_videos.???
geil.???
ich_lauf_aus.???
ichbingeil.???
ihre_akte.???
IhrEnde.???
Kontoauszug.???
Kopien.???
meinbild.???
meine_moese.???
mypics.???
Neuer Ordner.???
New Folder.???
Postbank.???
Postbank-Ueberweisungen.???
Rechnung.???
Rechnung-Anhang.???
reklament.???
sexy.???
Tickets.???
Ueberweisung.???
vorladung.???
Weltmeisterschaft.???
WM-Anhang.???
WM-Tickets.???
Donde la extensión .??? puede ser .ZIP o .RAR (de acuerdo al
programa compresor que detecte en la máquina que infecta). El
gusano busca los siguientes programas para decidir la
compresión (o utiliza .ZIP por defecto):
7-Zip
WinRAR
WinAce
El gusano evita enviar mensajes a aquellas direcciones que
contengan cualquiera de las siguientes cadenas en su nombre:
.arpa
.gov
.mil
abuse
admin
avp.
berkeley
borland.com
bsd.it
bugs
cisco
contact
debian
drweb.
fido
gnu.org
google
help
iana.
ibm.com
info
kaspersky
linux
microsoft.com
php.net
postmaster
privacy
rating
register
ripe.
root
sales
secure
service
site
soft
sophos
sun.com
support
virus
web
webmaster
xinul.com
El gusano también intenta propagarse explotando la siguiente
vulnerabilidad, ya corregida por Microsoft, buscando equipos
sin los parches respectivos:
MS04-007 ASN.1 de Windows: Ejecución de código (828028)
http://www.vsantivirus.com/vulms04-007.htm
Para no autoejecutarse más de una vez en memoria, utiliza el
siguiente mutex:
Worm.Win32.Zasrancheg
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice su antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute su antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
\Notify
\mszsrn32
3. Haga clic en la carpeta "mszsrn32" y bórrela.
4. Cierre el editor del registro.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No 2363 Año 11, sábado 3 de febrero de 2007
|
Responder a este mensaje
