| Asunto: | VSantivirus No 2400 Año 11, miércoles 21 de marzo de 2007 | | Fecha: | Miercoles, 21 de Marzo, 2007 15:39:34 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No 2400 Año 11, miércoles 21 de marzo de 2007
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - MySpace propaga troyano vía película QuickTime
2 - SpaceStalk.A. Se ejecuta vía películas QuickTime
3 - Implinker.A. Despliega ventanas de publicidad
4 - TrojanDropper.Agent.L. Usa vulnerabilidad en Word
_____________________________________________________________
1 - MySpace propaga troyano vía película QuickTime
_____________________________________________________________
http://www.vsantivirus.com/21-03-07.htm
MySpace propaga troyano vía película QuickTime
Por Angela Ruiz
angela@videosoft.net.uy
Una característica documentada de Apple QuickTime (denominada
HREF Tracks), es la causa de la ejecución de código malicioso
desde una página Web.
Recientemente se ha detectado un troyano que se vale de esta
característica mediante una película de QuickTime oculta para
descargarse. Se trata de un JavaScript que es ejecutado
cuando se visita una página hospedada en MySpace.
MySpace es un sitio web de interacción social formado por
perfiles personales de usuarios que incluye redes de amigos,
grupos, blogs, fotos, vídeos y música, además de una red
interna de mensajería que permite comunicarse a unos usuarios
con otros (según Wikipedia). La versión en español, aún está
en fase beta.
Una página de usuario de la versión en inglés de MySpace, que
promociona a un grupo musical francés, utiliza esta
posibilidad para ejecutar un script que obtiene información
de los usuarios que visitan dicha página y enviarla a un
servidor remoto (ESET NOD32 detecta este código como
JS/SpaceStalk.A).
La acción se desarrolla de la siguiente manera:
1. El usuario visita la página Web y sin saberlo, se ejecuta
una película QuickTime oculta.
2. La película descarga y ejecuta automáticamente el código
JavaScript del troyano.
No es la primera vez que MySpace es utilizado para infectar a
usuarios desprevenidos por medio de códigos maliciosos,
utilizando diversas técnicas. En el pasado sus visitantes
fueron afectados por spyware y otros malwares en más de una
oportunidad. En diciembre, se utilizó esta misma
característica de QuickTime para distribuir un troyano que
robaba contraseñas de usuarios.
En este caso, se utiliza específicamente una vulnerabilidad
en una característica de Apple QuickTime, documentada por el
propio Apple como una funcionalidad.
Según Apple, un HREF Tracks agrega interactividad a una
película de QuickTime. Los HREF Tracks contienen enlaces
(URLs) que pueden especificar otras películas que reemplacen
la actual, carguen otro marco, o ejecuten al propio
reproductor QuickTime. También pueden especificar funciones
en JavaScript, o páginas Web que carguen un FRAME o ventana
específica del navegador.
Un HREF Tracks no necesariamente puede ser algo que deba ser
visualizado, simplemente contiene información de conexión a
un enlace. Los HREF Tracks pueden ser interactivos o
automáticos. En el primer caso se cargan solo cuando se hace
clic en el área de despliegue de la película. En el segundo,
se ejecutan cuando la película es visualizada en un marco
específico.
La idea de esta funcionalidad es crear presentaciones, o
cualquier serie de acciones coordinadas con la visualización
de la película, o cualquier cosa que se pueda lograr mediante
comandos JavaScript.
Y allí es donde existe el verdadero peligro.
Apple QuickTime publicó específicamente una actualización a
su reproductor en diciembre de 2006, que corrige la acción de
esta funcionalidad para que no pueda ser ejecutado un código
en ventanas o marcos de dominios diferentes (Cross-Site-
Scripting).
Son afectadas las versiones 7.1.3 y anteriores.
* Más información:
MOAB-03-01-2007: Apple Quicktime HREFTrack Cross-Zone
Scripting vulnerability
http://projects.info-pull.com/moab/MOAB-03-01-2007.html
CVE-2007-0059
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0059
HREF Tracks
http://www.apple.com/quicktime/tutorials/hreftracks.html
Backdooring QuickTime Movies
http://www.gnucitizen.org/blog/backdooring-quicktime-movies/
* Relacionados:
SpaceStalk.A. Se ejecuta vía películas QuickTime
http://www.vsantivirus.com/spacestalk-a.htm
Actualización crítica para Apple QuickTime (7.1.5)
http://www.vsantivirus.com/vul-quicktime-050307.htm
QSpace.A. Se propaga infectando perfiles de MySpace
http://www.vsantivirus.com/qspace-a.htm
Tendencias del malware para el 2007
http://www.vsantivirus.com/tendencias-malware-2007.htm
La criminalidad informática se traslada a la Web
http://www.vsantivirus.com/mm-criminalidad-web.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - SpaceStalk.A. Se ejecuta vía películas QuickTime
_____________________________________________________________
http://www.vsantivirus.com/spacestalk-a.htm
Nombre: SpaceStalk.A
Nombre NOD32: JS/SpaceStalk.A
Tipo: Caballo de Troya
Alias: SpaceStalk.A, JS/SpaceStalk.A, SpaceStalk, tys4.mov
Fecha: 20/mar/07
Plataforma: Windows 32-bit
Caballo de Troya en forma de código JavaScript, con la
capacidad de enviar determinada información del equipo
infectado, a un atacante remoto.
El script se descarga y ejecuta cuando se visualiza un
archivo de película QuickTime (.MOV), utilizando una
característica no segura de este formato, que permite la
apertura automática de otros enlaces cuando la película es
visualizada desde una página Web (HREF Tracks).
En este caso, el exploit descarga de un determinado sitio de
Internet un JavaScript que se dedica a recoger información
del usuario relacionado con el servicio MySpace (nombre de
usuario, contraseña, preferencias, etc.)
Esta información es enviada a un servidor remoto.
Es importante tener presente que cómo el script descargado
por el archivo de QuickTime puede ser modificado por el
autor, en el futuro otras características podrían ser
implementadas.
El exploit que permite la ejecución del código, funciona si
la película QuickTime se encuentra embebida en una página Web
o es previsualizada dentro del navegador.
* Más información:
MySpace propaga troyano vía película QuickTime
http://www.vsantivirus.com/21-03-07.htm
HREF Tracks
http://www.apple.com/quicktime/tutorials/hreftracks.html
Actualización crítica para Apple QuickTime (7.1.5)
http://www.vsantivirus.com/vul-quicktime-050307.htm
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32,
seleccione el Control Center, Módulos de actualización, NOD32
Update y haga clic en el botón "Actualizar ahora". Compruebe
que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en
http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el
siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar
automáticamente" en su antivirus. En el caso de ESET NOD32,
seleccione Control Center, NOD32 Scanner, haga clic en el
botón "NOD32 Scanner", seleccione la casilla "Local", y haga
clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar"
cuando aparezca, o en el botón "Eliminar" cuando el botón
"Desinfectar" no esté activo. En cualquier otro caso, el
antivirus le dará el mensaje "sin acciones" y la limpieza se
efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o
eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar
automáticamente".
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 6 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Implinker.A. Despliega ventanas de publicidad
_____________________________________________________________
http://www.vsantivirus.com/implinker-a.htm
Nombre: Implinker.A
Nombre NOD32: Win32/Implinker.A
Tipo: Caballo de Troya
Alias: Implinker.A, ADSPY/Visiter.A, Ad-Spyware.Visiter.A,
Adware.Visiter.B, Embedded.AdWare.Visiter, Hijacker.Small,
Trojan.Holax, Virus.Win32.Implinke, Virus.Win32.Implinker.a,
W32/Implinker, W32/ImpLinker.A, Webwasher-Gateway,
Win32/Implinker.A
Fecha: 22/jul/05
Actualizado: 20/mar/07
Plataforma: Windows 32-bit
Tamaño: 29,184 bytes (UPX, BINARYRES)
Caballo de Troya que al ejecutarse, despliega diversas
ventanas con publicidad utilizando el Internet Explorer.
El troyano puede ejecutarse cada vez que el sistema se
reinicia sin ser descubierto, modificando el programa de
inicio.
Puede instalarse en un equipo utilizando una vulnerabilidad
de Microsoft Internet Explorer, descripta y solucionada por
Microsoft en abril de 2004 (MS04-013).
Esta vulnerabilidad no afecta a Internet Explorer 7.
Cuando se ejecuta, puede crear el siguiente archivo en el
equipo infectado:
c:\windows\system32\ms??????.dll
Donde "??????" representa 6 caracteres al azar (letras y
números).
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
El troyano examina las claves del registro que utilizan
programas legítimos para ejecutarse automáticamente en cada
reinicio de Windows y también los enlaces directos a
programas que se autoejecutan desde la carpeta de inicio,
copiando luego dichos programas en la carpeta TEMP de
archivos temporales.
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
Crea una tabla de ejecución con los programas encontrados
antes, de modo que en cada reinicio del sistema el archivo
.DLL creado por el troyano, se ejecute con uno de ellos,
variando dicho programa en cada reinicio.
Mientras está en memoria, se conecta a un servidor en
Internet, desde donde obtiene las direcciones con las
ventanas de publicidad que mostrará en el Internet Explorer.
También obtiene de ese modo las instrucciones para definir el
momento en que esas ventanas son desplegadas.
El troyano también puede auto actualizarse a si mismo desde
Internet.
* Relacionados:
MS04-013 Parche acumulativo para Outlook Express (837009)
http://www.vsantivirus.com/vulms04-013.htm
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32,
seleccione el Control Center, Módulos de actualización, NOD32
Update y haga clic en el botón "Actualizar ahora". Compruebe
que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en
http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el
siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar
automáticamente" en su antivirus. En el caso de ESET NOD32,
seleccione Control Center, NOD32 Scanner, haga clic en el
botón "NOD32 Scanner", seleccione la casilla "Local", y haga
clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar"
cuando aparezca, o en el botón "Eliminar" cuando el botón
"Desinfectar" no esté activo. En cualquier otro caso, el
antivirus le dará el mensaje "sin acciones" y la limpieza se
efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o
eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar
automáticamente".
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 6 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - TrojanDropper.Agent.L. Usa vulnerabilidad en Word
_____________________________________________________________
http://www.vsantivirus.com/trojandropper-agent-l.htm
Nombre: TrojanDropper.Agent.L
Nombre NOD32: W97M/TrojanDropper.Agent.L
Tipo: Caballo de Troya
Alias: TrojanDropper.Agent.L, DR/OLE.HiddenEXE.Gen,
Exp/1Table-B, Exploit-Dropper.1Table, Exploit-MSWord.b,
Threat.CVE-2006-2492, Trj/1Table.C, Trojan.Mdropper.X,
Trojan.OLE.HiddenEXE.Gen, Trojan-Dropper.MSWord.Agent.l,
W32/CVE20065994!exploit, W97M/Exploit-OleData,
W97M/TrojanDropper.Agent.L, Webwasher-Gateway, Win32/Ceeban
Fecha: 13/dic/06
Actualizado: 21/mar/07
Plataforma: Windows 32-bit
Tamaño: 213,504 bytes (archivo .DOC)
Caballo de Troya del tipo "TrojanDropper". Estos troyanos
suelen ser utilizados para instalar otros malwares en el
equipo infectado, sin el conocimiento de los usuarios. El
código malicioso es liberado y luego ejecutado. En ocasiones,
se liberan varios troyanos.
Se presenta en un documento de Word, y para ejecutarse, saca
provecho de una vulnerabilidad corregida en febrero de 2007
por Microsoft.
El documento ha sido distribuido en forma de spam, como
adjunto a un correo electrónico no solicitado, pero también
podría ser descargado de sitios no confiables o mediante
engaños por usuarios maliciosos.
* Relacionados:
MS07-014 Ejecución de código en MS Word (929434)
http://www.vsantivirus.com/vulms07-014.htm
Desbordamiento de búfer en Microsoft Word
http://www.vsantivirus.com/vul-msword-190506.htm
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32,
seleccione el Control Center, Módulos de actualización, NOD32
Update y haga clic en el botón "Actualizar ahora". Compruebe
que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en
http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el
siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar
automáticamente" en su antivirus. En el caso de ESET NOD32,
seleccione Control Center, NOD32 Scanner, haga clic en el
botón "NOD32 Scanner", seleccione la casilla "Local", y haga
clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar"
cuando aparezca, o en el botón "Eliminar" cuando el botón
"Desinfectar" no esté activo. En cualquier otro caso, el
antivirus le dará el mensaje "sin acciones" y la limpieza se
efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o
eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar
automáticamente".
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 6 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No 2400 Año 11, miércoles 21 de marzo de 2007
|
VSantivirus No 240
Responder a este mensaje
