|
Mostrando mensaje 1528
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No 2476 Año 11, viernes 22 de junio de 2007 | | Fecha: | Jueves, 21 de Junio, 2007 23:11:05 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No 2476 Año 11, viernes 22 de junio de 2007
_____________________________________________________________
1 - Se buscan socios para estafar. Grandes oportunidades
2 - AutoRun.AA. Virus de unidades extraíbles, borra MP3
3 - TrojanProxy.Xorpix.AR. Crea un servidor proxy
4 - Stration.AAC. Gusano y troyano que descarga archivos
_____________________________________________________________
1 - Se buscan socios para estafar. Grandes oportunidades
_____________________________________________________________
http://www.vsantivirus.com/socios-para-estafar.htm
Se buscan socios para estafar. Grandes oportunidades
Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy
Por lo menos en dos de mis casillas, ambas con direcciones
totalmente diferentes, y que no utilizo para mi correo
personal ni oficial, recibí un mensaje más de la larga serie
de correos electrónicos con los cuáles inescrupulosos
habitantes de este cibermundo, intentan ganarse la confianza
de usuarios que a veces (demasiadas veces), se comportan como
tiernos bebés de pecho.
Seré sincero. Más de una vez me pregunto porqué me molesta
tanto que la gente se vuelva tonta frente al monitor del PC,
cuando son coherentes y claros al enfrentarse al clásico
"cuento del tío" en la calle.
A pesar de todo lo que se ha escrito sobre la estafa a la
nigeriana (hablo en general y no solo en VSAntivirus), cada
poco tiempo recibo mensajes como éste:
"Hola Sr. Jose Luis Lopez. Recibí ciertos mails de estas
personas, un tal Rev. Kampson Lars, ofreciéndome la suma de
10M de $. Me pareció un cuento que no me comí, pero le llevé
la corriente y le di algunos datos. Ahora se la pasan
llamándome en inglés. Indíqueme que debo hacer??? Gracias"
¿Que puedo responder a estas personas?. En ese punto nada. Si
nos gusta jugar con fuego y nos quemamos, pues...
La manera en que funciona esta estafa, ha sido ampliamente
explicada en otros artículos de VSAntivirus (solo ponga
"nigeriana" en el buscador del sitio).
Hace unos meses, como disponía de tiempo, decidí realizar un
experimento para documentar un poco más el tema.
Después de un par de mensajes intercambiados, no me pareció
justificado continuar para obtener más detalles. Pensé que el
esfuerzo no valdría la pena, porque además, aunque se lo
expliquemos una y otra vez a las personas, éstas van a hacer
exactamente lo que no deben hacer.
Siempre me pregunto cuanta gente seguirá creyendo en los
Reyes Magos y en los dioses de Internet. La respuesta -por
desgracia-, parece ser que bastante más de lo que algunos
creemos.
El tema empezó con la recepción del siguiente mensaje
(transcribo todo tal cuál, esperando que sus ojos resistan
tantos errores y "horrores" gramaticales):
----- Primer mensaje recibido -----
From: "carol acoli"
Sent: Tuesday, March 13, 2007 10:07 AM
Subject: HOLA
Hola que tal,
Estoyle escribiendo atraves de un Pastor de iglesia apenas
para saber si usted esta interesado para ayudame y mi
enfermedad madre a reclama nuestros fondos que fueron
depositado como "EFECTOS PERSONALES"(ENVIO) con una compania
de asegurado aqui en Africa del oeste y entonces invertir
mismo en nuestro fabor en cualquier negocio que usted piensas
mas lucrativos y provechosos en su pais.
Si usted realmente estas interesado y bastante capaz para
manejar este proyecto como usted reclamara los fondos en
"EFECTIVO" debido a la manera mismo fueron depositado, ponete
en contacto conmigo lo mas rapidamente posible de modo que yo
informarle la cantidad implicada y los procedimientos y las
modalidades porque usted sera nuestra guia y Representante
del este proyecto.
POR FAVOR DESCULPA PARA POCO CONOCEMIENTO DE ESPANOL DE
PASTOR.
Sin otra particulares si despider atentamente,
CAROLINE ACOLI.
----- Final primer mensaje recibido -----
Respondí lo siguiente (por supuesto desde una cuenta falsa,
hasta diría "groseramente" falsa :)
----- Primer mensaje mío enviado -----
Miguel Honesto <miguelhonesto@????.com> wrote:
Estimado Carol...
Me encontré con su mail en uno de mis correos...
¿Podría aclararme a que se refiere este mensaje?...
Sinceramente suyo...
Miguel Honesto
----- Final mensaje enviado -----
A los pocos días recibí la siguiente respuesta:
----- Primer respuesta recibida -----
Hola Sr.Miguel que tal,
Buenos dias y como estas en union de su familia entera?
Espero que se encuentren muy bien de salud.Solo que yo estoy
mucho triste debido a la enfermedad de mi Madre.
COMO LE DIJE EN MI PRIMERO CORREO PARATE,ES UN PASTOR DE UNA
IGLESIA QUE ESTA ME AYUDANDO ESCRIBIRLE PUESTO QUE EL CONOCE
POCO DE ESPANOL Y TAMBIEN ESTOY VIVIENDO CON EL EN LA
IGLESIA.
Bien,acuso de recibi su contestacion y quiero informarle que
nosotros necesitamos su ayudar para reclamar nuestro fondos
aqui en Senegal y invertir mismo en su pais con su pericia en
nuestro fabor.Y yo ya informe mi madre inmediatamente sobre
su contestacion aunque su situacion esta muy critica.
Quiero informarle que ella agradezca mucho para su bueno
gesto a nos ayudar reclama nuestro envio(fondos) y invertir
mismo en nuestro favor que sea ventage imense para nosotros
ambos. Pero ella quisiera que usted manejara este proyecto
solo sin el involvemento de cualquiera.
GUSTARIA INFORMARLE QUE LA CANTIDAD INVOLVIDA PARA LA
INVERSION ES US$3m.(TRES MILLONES DE DOLARES) Y NOSOTROS NO
PODEMOS TOCAR LOS FONDOS AHORA DEBIDO A LA MANERA QUE MISMO
FUERON DEPOSITADO A MENOS QUE SALGA DE LAS ORILLAS DE
SENEGAL. ES POR ESO NECESITAMOS SU AYUDA URGENTE.
Sin embargo,ella gustaria que usted informarme en la linea de
inversion que usted piensas mas lucrativa y provechoso para
invertir los fondos desde que es su pais porque como le dije
en mi primero correo parate,usted sea nuestra guia y
representante para este proyecto.
Por favor gustaria que usted llamarme aqui en la Republica de
Senegal atraves de PASTOR con su numero de telefon, 00221-64-
25-123 para nosotros hablamos sobre la inversiones y tambien
las modalidades.
Ademas gustaria tambien que usted envianos sin retraza su
nombre completo,su numero de telefon privado y su numero de
celular tambien para mejor comunicacion.
En recibo de su contestacion,Voyle enviar mi foto parate
conoceme mejor.
quedo pues a la espera de su noticias urgente.
CAROLINE .
----- Final respuesta recibida -----
Aclaro que el 00221 es el prefijo internacional para Senegal.
Examinando la respuesta, veo que en ningún momento se
inmutaron al responder a una dirección a la que no habían
enviado nada (yo respondí desde una dirección creada en el
momento para mi experimento, no desde la que me llegó el
spam).
Como ya dije, no seguí con la charada, pero está claro a
donde lleva (y la persona que me pide consejos, cuyo ejemplo
transcribo al principio de este artículo, puede dar fe de lo
que viene después).
Y si UD. aún lo ignora, por favor lea esto:
SCAM: Estafa a la nigeriana (4-1-9 SCAM),
http://www.vsantivirus.com/scam-nigeria.htm
Lo cierto es que hace unos minutos acabo de recibir otra
variante de este tipo de estafa. Lo preocupante, es que cada
vez aparezcan más ejemplos en español (o en "algo" que se
parece al español). Además los temas empiezan a variar.
Por supuesto, las oportunidades para gente sin escrúpulos son
muchas, como las de sacar nombres de personas fallecidas en
un accidente aéreo.
Y si antes la gente (la nuestra, la de habla hispana) "caía"
aunque los mensajes estuvieran en inglés... pues...
Cómo decía al comienzo, recibí esto en al menos dos cuentas,
y la "excusa" para que dieran "casualmente" con mis
direcciones dos veces, (dos gotas de agua en el amplio y
vasto océano de la red), parece ser la siguiente:
"estoy averiguando en internet sobre un extranjero que me
ayudara en esta gran oportunidad,"
Por supuesto, la razón real es el spam masivo. Y en ese caso,
seguramente muchos "extranjeros" deben haber caído en la
trampa. Y si llegaron a dar sus datos personales, no me
gustaría estar en sus zapatos en este momento.
Las conclusiones las debe sacar UD., amable lector (si llegó
hasta este párrafo, como dirían antiguas crónicas), y solo
UD. es quien decide seguir pensando que Internet es un mundo
aparte, y no una extensión del mundo real al que nos
enfrentamos todos los días en la calle... La única diferencia
es que nos asomamos a él a través de una ventanita digital...
... Y perdón.... :)), pero todavía estoy desternillándome
(decir "de risa" sería redundante), al ver que un
"REPRESENTANTE [del] FUNDO MONITORIA INTERNACIONAL DE
NACIONAL UNIDAS (UNIMF)", me escribe desde una dirección de
Hotmail... :))
----- Ejemplo del nuevo SCAM "a la nigeriana" -----
From: "HON.DR. FRANCISCO RODRIGUEZ"
<f_rodriguez00007 @ hotmail.com>
Sent: Thursday, June 21, 2007 10:03 AM
Subject: INVITACION DE UN SOCIO LATINO (GRACIAS AMIGO)
INVITACION DE UN SOCIO LATINO (GRACIAS AMIGO)
NOTA: ESTA LETRA SE ESCRIBE EN INGLÉS Y ESPAÑOL. ¡CPARA SU
MEJOR COMPRENSIÓN!
NOTE: (THIS LETTER IS WRITTEN IN ENGLISH AND SPANISH. FOR
YOUR BEST UNDERSTANDING
SPANISH....
=====================================================
INTERNATIONAL FUNDS TRANSFER / AUDIT UNIT UNITED NATIONS
(WORLD BANK ASSISTED PROGRAMME) DIRECTORATE OF INTERNATIONAL
PAYMENT AND TRANSFERS.
Querido Amigo, Mi nombre es Hon. Dr. Francisco Rodriguez un
Estados Unidence, Yo trabaja con el Organizacion Nacional
Unidas (ONU) en Reino Unidos (UK), durante mi averiguaciones
yo discubre a un fundo no reclamado pertenente Sr. Morris
Thompson (fallecido) un Americano por Nacionalidad que
falleció en un tragedia Aereo del vuelo 261 de las aero linea
de Alaska, que se estrelló en Enero el 31 de 2000, incluyendo
su esposa y unico Hija. Usted leerá más sobre el desastre
visitar a este sitio que conseguio; durante mi investigación;
REVISA A ESTE PAGINA DE INTERNET CUIDADOSAMENTE USTED SE
ACLARA DE CUALQUE DUDA QUE TENDRA AL RESPETO.
http://www.cnn.com/2000/US/02/01/alaska.airlines.list Desde
el fallecimiento de este nuestro Cliente, Yo ha mirado
personalmente con interés para encontrar a un Heredero de
este nuestro cliente pero todo ha probado abortivo mientras
que nadie ha venido reclamar este fondos de US$15.5M (Quince
Milliones y medio de Dolares Americana) cuál ha estado en
nuestro boveda por un tiempo muy Largo, En esta nota, decidio
a buscar para quién su nombre será utilizado como el
siguiente de parentezcos como nadie ha venido hasta ahora
como su Heredero y el ética de las actividades bancarias aqui
no permite que tal dinero permanezca más de diez años, porque
el dinero será regresado a la tesoria del banco como fondo no
reclamado y abandonado después de este periodo de tempo En la
vista de esto consegio su contacto cuando estoy averiguando
en internet sobre un extranjero que me ayudara en esta gran
oportunidad, Para su ayuda le daré 30% de la cantidad total
entonces el 10% seria para donar al hogar de ancianos y
huelfanos, mientras que el 60% restante estarán para tu y yo.
Sobre el recibo de su respuesta, le enviaré por fax o el
correo electronico la copias de vale y comprobante de
deposito, que usted firmará y renviarás de nuevo para
permitirnos inicializar el proceso de reclama de este fundo
de US$15.5M (Quince Milliones y medio de Dolares Americana).
Similarmente, te informas que este transacion es sin riesgos
y obstruciones que usted no debe entretener ningún miedo pues
todas las modalidades para la transferencia de este fondo se
han sido concluido.
NOTA: Yo nececita tu asistancia/apoyo como un socio para que
puedemos remmitir a este fundo de total US$15.5M (QUINCE
MILLIONES Y MEDIO DOLARES AMERICANA) a un pais seguro donde
puedemos envertirlo a un negocio de tu sugerencia, mi parte
seria facilitar a este transaciones con todos documentos
legales/aprobados desde el ministerios corespondentes y tu
parte seria aportar con un cuenta bancario ESCROW en tu
nombre aqui para que se puedes transferir el fundo sin la
intercepcion de algunas agencia monitoria de fundo y este
cuenta moderno te permitiras girar en lineas con tu cuentas
existentes en tu pais en-linea desde cualque parte de mundo
sin necesidad de viajar.
Si tu acceptas trabajar conmingo, tu tienes que enviar a
estes informaciones junto con tu contactos personales.
es necesario entender los pasos siguentes en rojo.
Yo me interesa trabajar contigo y dirigiras con estos
pocedimentos de abrir un cuenta bancaria Escrow en el banco
mencionado, Mi informaciones son:
(1)Numero telefono:
(2) identificacion (dni)
(3) direccion:
(p
(
( Te quiero mi buen Amigo
Hon (Dr.) Francisco Rodriguez
REPRESENTANTE FUNDO MONITORIA INTERNACIONAL DE NACIONAL
UNIDAS (UNIMF)
=============================================================
ENGLISH
INTERNATIONAL FUNDS TRANSFER / AUDIT UNIT UNITED NATIONS
(WORLD BANK ASSISTED PROGRAMME) DIRECTORATE OF INTERNATIONAL
PAYMENT AND TRANSFERS.
Attention: My Good friend,
My name is Hon (Dr.) Francisco Rodriguez; I am a
representative with the United Nations Department of
International Monitory Unit. I am writing in respect of a
discovery of unclaimed fund in tune of US$15.5M (Fifteen
Million Five Hundred Thousand United States Dollars)
belonging to a late foreign. This fund is deposited in a Bank
in London (name will be disclosed upon the receipt of your
positive response). The Late Customers name is Mr. Morris
Thompson". He is an American by Citizen who perished in a
plane crash of Alaska Airlines Flight 261 which crashed on
January 31 2000; there with him are his wife and only
daughter. You shall read more about the crash on visiting
this site which I got during my investigation;
STUDY CAREFULLY THIS WEBSITE TO CLEAR YOURSELF OF ANY DOUBTS:
{ http://www.cnn.com/2000/US/02/01/alaska.airlines.list }
Since the demise of this gentleman, I personally have watched
with keen interest to see the next of kin but all has proved
abortive as no one has come to claim his funds of US$15.5M
(Fifteen Million Five Hundred Thousand United States
Dollars). This money has been in a Bank for a very long time.
On this note, I decided to seek for whom his name shall be
used as the Next of Kin as no one has come up to be the next
of kin. And the Banking ethics here does not allow such money
to stay more than Ten Years, because the money will be
recalled to the Bank treasury as unclaimed fund after this
period.
In view of this I got your contact when making a research on
a foreigner I will use in this great opportunity. For your
assistant I will give you 30%of the total amount then 10%
have been mapped out to be donated to the motherless babies'
home, while the remaining 60% will be for me and my partner.
I will not fail to bring to your notice that this business is
hitch free and that you should not entertain any fear as all
modalities for the smooth and hitch-free transfer of this
fund has been finalized, this transaction will be completed
within five banking days of receiving your positive response.
THE ONLY APPRAOVED CLAIMING PROCEDURE:-
To ensure a successful consummation of the business, there is
need for me to follow the normal and legal procedure of doing
things so that no country laws will be contradicted. This is
100% risk free as we have no intention to do anything that
will go contrary to the laws of any Nations.
In this regard, I suggest, while I run the cost of procuring
the entire legal document from the judiciary departments of
London, required to transfer this inheritance in your names
as "the beneficiary" and in my names of the "guarantor". You
also on your own side will ONLY be required to open an
Account Escrow with the Bank in London where this fund has
bee lodged for the past ten years, so that an internal
transfer within the same Bank will be made to your new
account. And with this process no monitory security Agents
will be alerted over the transfer of such huge amount of
money and that will give us a hitch free transfer at the
shortest time. After this, the Bank will send you an ATM card
of International operations to your address through any good
courier service so that you may have access in withdrawing
this fund from your country. Note that I will join you soon
this arrangement is completed. Anything outside this well
planned arrangement will not have my approval as this
procedure has been ascertained okay by professional Bankers
of repute.. This deal need to be kept 100% top-secret.
If you are interested, copy and send the short red painted e-
mail below together by providing the required information
below:
"I am interested to work with you and I will comply with the
above procedure by opening the online account with the said
Bank. My information are:
(p
(1) phone Number:
(2) dentification?:
(3) (3) Address
Yours Sincerely,
Hon (Dr.) Francisco Rodriguez
REPRESENTATIVE UNITED NATION INTERNATIONAL MONETORY FUND
(UNIMF)
---- Final del SCAM ----
* Relacionados:
SCAM: Estafa a la nigeriana (4-1-9 SCAM)
http://www.vsantivirus.com/scam-nigeria.htm
Amenazas de muerte "a la nigeriana"...
http://www.vsantivirus.com/scam-muerte-419.htm
Más sobre hoaxes, scams y phishing:
http://www.vsantivirus.com/hoaxes.htm
Cuidado con los negocios y regalos por Internet
http://www.vsantivirus.com/agr-scam.htm
Dame el número de tu tarjeta y te pago las cuentas
http://www.vsantivirus.com/ar-scam-paypal.htm
Análisis de un SCAM: La estafa del premio de la Lotería
http://www.vsantivirus.com/scam-loteria.htm
En Internet, todos somos extraños
http://www.vsantivirus.com/23-06-05.htm
* Glosario:
SCAM - Engaño con intención de estafa o fraude.
SCAMMER - Persona que realiza un SCAM.
(*) Jose Luis Lopez es el responsable de contenidos de
VSAntivirus.com, y director ejecutivo de ESET NOD32 Uruguay.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - AutoRun.AA. Virus de unidades extraíbles, borra MP3
_____________________________________________________________
http://www.vsantivirus.com/autorun-aa.htm
Nombre: AutoRun.AA
Nombre NOD32: Win32/AutoRun.AA
Tipo: Virus y caballo de Troya
Alias: AutoRun.AA, Mal/Basine-C, MalwareScope.Trojan-
PSW.Pinch.1, TR/PSW.LdPinch.BSG.15,
Trojan.PSW.LdPinch.BSG.15, Trojan.PWS.LDPinch.1407,
Trojan/Worm, Trojan-PWS.Win32.LdPinch.bgj,
VirTool:Win32/Obfuscator.K, Virus.Win32.AutoRun.aa,
W32/AutoRun.Y, Win32/AutoRun.AA, Win32:Delf-ETE
Fecha: 21/jun/07
Plataforma: Windows 32-bit
Tamaño: 52,153 bytes
Virus que se carga al inicio del sistema, y puede ejecutarse
cada vez que se accede a una unidad de disco o se inserta una
unidad extraíble (por ejemplo, memoria USB).
El virus puede buscar archivos con extensión .MP3 y
borrarlos.
Cuando se ejecuta crea los siguientes archivos:
c:\windows\system32\config\autorun.inf
c:\windows\system32\config\csrss.exe
c:\windows\media\arona.exe
c:\windows\system32\logon.bat
También crea el siguiente archivo:
?:\autorun.inf
Donde "?:" es una letra de unidad de disco, de la "E:" en
adelante.
El archivo "logon.bat", y los archivos "autorun.inf" creados,
tienes las instrucciones para ejecutar a "csrss.exe".
El virus crea la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Worms = "c:\windows\system32\logon.bat"
Las siguientes entradas también son creadas o modificadas,
algunas de ellas para desactivar algunas herramientas de
Windows como el Editor del Registro y el Administrador de
Tareas de Windows, otras como para eliminar la entrada
Opciones de carpetas del menú de herramientas del Explorador
de Windows y del Panel de Control, y para esconder los
archivos con atributos de sistema y sus extensiones, todo
ello con la intención de dificultar su detección:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
SearchHidden = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
SearchSystemDirs = "0"
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
Hidden = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
HideFileExt = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
ShowSuperHidden = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
SuperHidden = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoFolderOptions = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer
NoDriveTypeAutoRun = "0"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableRegedit = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableRegistryTools = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion
\Policies\System
DisableTaskMgr = "1"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "1"
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32,
seleccione el Control Center, Módulos de actualización, NOD32
Update y haga clic en el botón "Actualizar ahora". Compruebe
que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en
http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el
siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar
automáticamente" en su antivirus. En el caso de ESET NOD32,
seleccione Control Center, NOD32 Scanner, haga clic en el
botón "NOD32 Scanner", seleccione la casilla "Local", y haga
clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar"
cuando aparezca, o en el botón "Eliminar" cuando el botón
"Desinfectar" no esté activo. En cualquier otro caso, el
antivirus le dará el mensaje "sin acciones" y la limpieza se
efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o
eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar
automáticamente".
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 6 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Herramienta de reparación del registro:
IMPORTANTE: Debe descargar y ejecutar esta herramienta antes
de proceder a editar el registro.
1. Descargue el siguiente archivo:
http://www.videosoft.net.uy/reparar-registro.vbs
2. Seleccione "Abrir" y luego "Ejecutar".
NOTA VSA: Algunos antivirus pueden detectar un virus en este
archivo, sin embargo, si descarga el mismo del enlace
ofrecido arriba, el archivo está limpio, y solo se trata de
un falso positivo.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
3. Haga clic en la carpeta "Explorer" y busque y borre la
siguiente entrada:
SearchHidden = "0"
4. Cambie el valor de la siguiente entrada para que quede con
el valor "1":
SearchSystemDirs = "1"
5. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
6. Haga clic en la carpeta "Advanced" y busque y borre la
siguiente entrada:
Hidden = "1"
7. Cambie el valor de la siguiente entrada para que quede con
el valor "0":
HideFileExt = "0"
8. Cambie el valor de la siguiente entrada para que quede con
el valor "1":
ShowSuperHidden = "1"
9. Borre la siguiente entrada:
SuperHidden = "1"
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\Explorer
11. Haga clic en la carpeta "Explorer" y cambie el valor de
la siguiente entrada para que quede con el valor "91" en
hexadecimal:
NoDriveTypeAutoRun = "91"
12. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
13. Haga clic en la carpeta "Winlogon", busque la entrada
"Userinit" y deje solo lo siguiente:
Userinit = "c:\windows\system32\userinit.exe,"
14. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
15. Haga clic en la carpeta "RunOnce" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 6
del ítem "Antivirus".
16. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
17. Haga clic en la carpeta "SharedAccess", y busque y cambie
el valor de la siguiente entrada para que quede con el valor
"2":
Start = "2"
18. Cierre el editor del registro.
19. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - TrojanProxy.Xorpix.AR. Crea un servidor proxy
_____________________________________________________________
http://www.vsantivirus.com/trojanproxy-xorpix-ar.htm
Nombre: TrojanProxy.Xorpix.AR
Nombre NOD32: Win32/TrojanProxy.Xorpix.AR
Tipo: Caballo de Troya
Alias: TrojanProxy.Xorpix.AR, Trojan-Proxy.Win32.Xorpix.ar,
Trojan-Proxy:W32/Xorpix.AR, Win32/TrojanProxy.Xorpix.AR
Fecha: 13/jun/07
Plataforma: Windows 32-bit
Tamaño: 18,432 bytes
Caballo de Troya que actúa como servidor proxy (equipo o
programa que hace de intermediario entre Internet y un grupo
de usuarios).
Cuando se ejecuta, inyecta su código en el proceso legítimo
de Windows, WINLOGON.EXE. Luego, abre el Internet Explorer, y
actúa como un servidor proxy, utilizando un puerto
seleccionado al azar.
Un "TrojanProxy" recibe peticiones de un atacante remoto
(puede ser también de un programa robot u otro troyano) y las
reenvía a Internet desde el equipo infectado. Esto permite
entre otras cosas, utilizar una red de equipos infectados
para lanzar ataques o enviar spam de forma masiva.
El troyano puede liberar los siguientes archivos:
bn.dll
bot.dll
dn.dll
partneship.dll
Otros nombres podrían ser posibles.
Crea la siguiente clave en el registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\[nombre del DLL]reg
Donde [nombre del DLL] es uno de los archivos liberados
antes. Por ejemplo:
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\bnreg
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\botreg
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\dnreg
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\partnershipreg
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32,
seleccione el Control Center, Módulos de actualización, NOD32
Update y haga clic en el botón "Actualizar ahora". Compruebe
que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en
http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el
siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar
automáticamente" en su antivirus. En el caso de ESET NOD32,
seleccione Control Center, NOD32 Scanner, haga clic en el
botón "NOD32 Scanner", seleccione la casilla "Local", y haga
clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar"
cuando aparezca, o en el botón "Eliminar" cuando el botón
"Desinfectar" no esté activo. En cualquier otro caso, el
antivirus le dará el mensaje "sin acciones" y la limpieza se
efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o
eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar
automáticamente".
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 6 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
\Notify
3. Haga clic en la carpeta "Notify" y busque y borre todas
las subcarpetas cuyos nombres estén en la siguiente lista:
bnreg
botreg
dnreg
partneshipreg
4. Cierre el editor del registro.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Stration.AAC. Gusano y troyano que descarga archivos
_____________________________________________________________
http://www.vsantivirus.com/stration-aac.htm
Nombre: Stration.AAC
Nombre NOD32: Win32/Stration.AAC
Tipo: Gusano de Internet y caballo de Troya
Alias: Stration.AAC, Email-Worm.Win32.Warezov.pb,
MalwareScope.Worm.Warezov.1, Trojan.Win32/Stration.F!dll,
W32.Stration@mm, W32/Strati-Gen, W32/Stration.FNW,
W32/Stration.gen@MM, W32/Stration.PB@mm, W32/Warezov.pb,
Win32.HLLM.Limar, Win32.Warezov.pb, Win32.Warezov.YX,
Win32/Stration.AAC, Win32:Warezov-CGV, Worm.Stration.AOH-4,
Worm.Stration.Gen, Worm.Warezov.pb, WORM/Stration.Gen
Fecha: 15/jun/07
Actualizado: 19/jun/07
Plataforma: Windows 32-bit
Tamaño: 28,672 bytes
Gusano de Internet que se propaga por correo electrónico,
enviándose como adjunto en un mensaje a toda la lista de
direcciones obtenidas en diferentes archivos de la máquina
infectada.
También posee la capacidad de descargar y ejecutar otros
componentes de Internet.
Intenta deshabilitar el acceso a sitios relacionados con
aplicaciones de seguridad.
Al ejecutarse, abre el bloc de notas mostrando caracteres al
azar.
Puede mostrar una ventana con el siguiente mensaje:
Error
Unknown error
[ OK ]
Luego, crea los siguientes archivos:
c:\windows\system32\mscmippr.dll
c:\windows\system32\mscmippr.exe
Cuando se conecta a un determinado sitio, puede descargar
otros archivos y luego liberar los siguientes en el equipo:
c:\windows\system32\acac.dll
c:\windows\system32\d3drmmdr.exe
c:\windows\system32\ff_vcred.dll
c:\windows\system32\midiscp3.dll
c:\windows\system32\remomqpe.exe
c:\windows\system32\routpsto.dll
c:\windows\system32\vid.exe
c:\windows\system32\wshaplus.dll
c:\windows\system32\wshaplus.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Crea las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\mscmippr
Asynchronous = ""
DllName = "c:\windows\system32\mscmippr.dll"
Impersonate = ""
Shutdown = "WlxShutdownEvent"
Startup = "WlxStartupEvent"
Para propagarse como gusano, utiliza mensajes con las
siguientes características:
De: [dirección falsa]
Para: [dirección al azar]
NOTA: El gusano, busca direcciones en archivos con las
siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Asunto: [uno de los siguientes]
Error
Good day
hello
Mail Delivery System
Mail server report
Mail Transaction Failed
picture
Server Report
Status
test
Texto del mensaje: [uno de los siguientes]
[vacío]
Mail transaction failed. Partial message is available.
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
The message contains Unicode characters [and has been
sent as a binary attachment.
También puede utilizar el siguiente texto:
Mail server report.
Our firewall determined the e-mails containing worm copies
are being sent from your computer.
Nowadays it happens from many computers, because this is a
new virus type (Network Worms).
Using the new bug in the Windows, these viruses infect the
computer unnoticeably.
After the penetrating into the computer the virus harvests
all the e-mail addresses and sends the copies of itself to
these e-mail addresses
Please install updates for worm elimination and your
computer restoring.
Best regards,
Customers support service
Datos adjuntos: [uno de los siguientes]
data.[ext 1].[ext 2]
body.[ext 1].[ext 2]
data.[ext 1].[ext 2]
doc.[ext 1].[ext 2]
docs.[ext 1].[ext 2]
document.[ext 1].[ext 2]
file.[ext 1].[ext 2]
message.[ext 1].[ext 2]
readme.[ext 1].[ext 2]
test.[ext 1].[ext 2]
text.[ext 1].[ext 2]
Update-KB????-x86.exe
Donde "????" son números al azar.
[Ext 1] puede ser una de las siguientes extensiones:
.dat
.elm
.log
.msg
.txt
[Ext 2] es una de las siguientes extensiones:
.bat
.cmd
.exe
.pif
.scr
En ocasiones, entre [ext 1] y [ext 2] pueden existir varios
espacios en blanco.
Puede agregar entradas al archivo HOSTS de Windows, para
impedir el acceso a determinados sitios relacionados con
programas de seguridad.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32,
seleccione el Control Center, Módulos de actualización, NOD32
Update y haga clic en el botón "Actualizar ahora". Compruebe
que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en
http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el
siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar
automáticamente" en su antivirus. En el caso de ESET NOD32,
seleccione Control Center, NOD32 Scanner, haga clic en el
botón "NOD32 Scanner", seleccione la casilla "Local", y haga
clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar"
cuando aparezca, o en el botón "Eliminar" cuando el botón
"Desinfectar" no esté activo. En cualquier otro caso, el
antivirus le dará el mensaje "sin acciones" y la limpieza se
efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o
eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar
automáticamente".
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 6 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada, y de la acción de la
herramienta "StrationFix" utilizada antes.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
\Notify
\mscmippr
3. Haga clic en la carpeta "mscmippr" y bórrela.
4. Cierre el editor del registro.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que
modifique el archivo HOSTS para protegerlo de ciertos
parásitos, vuelva a ejecutar ese programa para actualizar el
archivo HOSTS con dicha información.
6. Reinicie su computadora.
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No 2476 Año 11, viernes 22 de junio de 2007
|
Responder a este mensaje
