| Asunto: | VSantivirus No 2468 Año 11, martes 12 de junio de 2007 | | Fecha: | Martes, 12 de Junio, 2007 02:08:49 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No 2468 Año 11, martes 12 de junio de 2007
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Actualización crítica para Yahoo! Messenger
2 - Sobre DEP (Prevención de ejecución de datos)
3 - Fuclip.AK. Utiliza técnicas de rootkit para ocultarse
4 - SpamTool.Mailbot.NAC. Envía spam, utiliza rootkit
_____________________________________________________________
1 - Actualización crítica para Yahoo! Messenger
_____________________________________________________________
http://www.vsantivirus.com/vul-yam-080607.htm
Actualización crítica para Yahoo! Messenger
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Yahoo publicó una actualización de seguridad crítica para su
software Yahoo! Messenger. La actualización, corrige dos
vulnerabilidades que están siendo explotadas maliciosamente.
Según reporta eEye Digital Security, son afectados los
componentes YWCUPL.DLL e YWCVWR.DLL de Yahoo! Messenger, los
que son propensos a desbordamientos de búfer cuando manejan
datos no comprobados correctamente.
YWCUPL.DLL corresponde a un control ActiveX utilizado por la
aplicación para compartir el video de la cámara Web con otros
usuarios. YWCVWR.DLL está relacionado con otro control
ActiveX, en este caso utilizado para la visualización por
parte del usuario de la imagen de la webcam.
Aunque normalmente ambos archivos solo deberían ser
utilizados con las opciones de cámara web, los controles
ActiveX correspondientes, erróneamente marcados como seguros,
pueden ser explotados maliciosamente para la ejecución de
código, sin requerirse ninguna acción extra por parte del
usuario con Yahoo! Messenger instalado en su PC, y por el
simple acto de visitar una página especialmente modificada.
Aunque Yahoo! Messenger será actualizado automáticamente, se
recomienda a quienes lo utilizan proceder a su rápida
implementación, debido al peligro que significa la
posibilidad de descarga y ejecución de código al visitarse un
sitio Web, como lo demuestra una prueba de concepto publicada
por Hispasec (ver "Más información").
* Más información:
Yahoo! Webcam ActiveX Controls
http://messenger.yahoo.com/security_update.php?id=060707
Grave vulnerabilidad en Yahoo! Messenger (y prueba de concepto)
http://www.hispasec.com/unaaldia/3152/
Yahoo! Webcam ActiveX Controls Multiple Buffer Overflows
http://research.eeye.com/html/advisories/published/AD20070608.html
* Descarga:
http://messenger.yahoo.com/download.php
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
____________________________________________________________
2 - Sobre DEP (Prevención de ejecución de datos)
_____________________________________________________________
http://www.vsantivirus.com/faq-dep.htm
Sobre DEP (Prevención de ejecución de datos)
La prevención de ejecución de datos (DEP), es un conjunto de
tecnologías de hardware y software que realizan
verificaciones adicionales en la memoria para ayudar a
proteger contra la explotación en base a códigos maliciosos.
La misma ya había sido incluida en el Service Pack 2 de
Windows XP, y se aplica tanto a nivel de hardware como de
software.
Básicamente, se trata de marcar zonas críticas de la memoria,
como no ejecutables para las aplicaciones. Esto impide por
ejemplo, la ejecución de código basada en desbordamientos de
búfer, o de corrupción de pila (stack).
Para funcionar en modo hardware, se requiere que el
procesador lo soporte. Los nuevos equipos utilizados con
Windows Vista, tanto con procesadores de Intel como de AMD,
poseen esa posibilidad. En caso contrario, la protección es
menos efectiva, ya que debe basarse solo en software.
Para acceder a la configuración de esta protección, en
Windows XP SP2, siga estos pasos:
1. Seleccione "Panel de control".
2. Seleccione "Sistema".
3. Elija la lengüeta "Opciones avanzadas".
4. En la sección "Rendimiento", pulse el botón
"Configuración".
5. Seleccione la lengüeta "Prev. de ejecución de datos".
Las opciones disponibles son "Activar DEP sólo para los
programas y servicios de Windows esenciales" (por defecto), o
"Activar DEP para todos los programas y servicios excepto los
que seleccione".
En la misma ventana, en la parte inferior, un mensaje nos
indicará si el procesador admite la protección DEP basada en
hardware ("El procesador es compatible con DEP basado en
hardware"). Si no lo es, el mensaje dirá "El procesador de su
equipo no es compatible con DEP basado en hardware. Sin
embargo, Windows puede usar software de DEP para ayudar a
prevenir cierto tipo de ataques."
En Windows Vista, siga estas instrucciones:
1. Abra "Equipo".
2. Seleccione el menú "Propiedades del sistema".
3. En "Tareas", seleccione la opción "Protección del sistema"
(requiere permisos de administrador).
4. En la lengüeta "Opciones avanzadas", seleccione el botón
"Configuración" en "Rendimiento".
5. Seleccione la lengüeta "Prevención de ejecución de datos".
El resto es igual que como se indicó para Windows XP.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Fuclip.AK. Utiliza técnicas de rootkit para ocultarse
_____________________________________________________________
http://www.vsantivirus.com/fuclip-ak.htm
Nombre: Fuclip.AK
Nombre NOD32: Win32/Fuclip.AK
Tipo: Gusano de Internet y caballo de Troya
Alias: Fuclip.AK, Email-Worm.Win32.Zhelatin.ep,
Packed.Win32.Tibs.y, Tibs.gen108, TR/Small.DBY.DB,
Trojan.Packed.137, Trojan.Peed.HVR, Trojan.Small.DBY.DB,
Trojan.Small-2476, Trojan.Tibs.Gen!Pac.126, Trojan.Tibs.y,
Trojan/Tibs.y, W32/Tibs.Y!tr, Win32.Tibs.y, Win32/Fuclip.AK,
Win32/Sintun, Win-Trojan/Tibs.134353, Worm:Win32/Nuwar.gen
Fecha: 8/jun/07
Actualizado: 11/jun/07
Plataforma: Windows 32-bit
Tamaño: 134,353 bytes
Gusano y caballo de Troya capaz de finalizar procesos
relacionados con antivirus y cortafuegos entre otros. También
puede actualizarse a si mismo, descargando otros archivos de
determinados sitios de Internet.
Forma parte de una serie de múltiples componentes descargados
por algunas variantes del Win32/Nuwar.
Es capaz de propagarse a través de conexiones activas de red,
y vía correo electrónico, enviándose como adjunto a
direcciones recolectadas en el equipo infectado.
Puede crear un botnet para controlar el PC infectado vía un
puerto UDP al azar (generalmente 4000, 7871 o 11271). De ese
modo puede crear una conexión P2P, y convertir al equipo en
una computadora zombi.
Posee características de rootkit, con lo que intenta
ocultarse mientras se ejecuta.
Cuando se ejecuta, crea algunos de los siguientes archivos:
c:\windows\system32\alt.exe
c:\windows\system32\alt.exe.exe
c:\windows\system32\pee.exe
c:\windows\system32\pee.exe.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
También pueden existir en el equipo infectado, una serie de
archivos con el siguiente formato:
a???????.exe
Donde "???????" son números al azar. Ejemplos:
a0033012.exe
a0097594.exe
a0108001.exe
El troyano puede descargar y ejecutar otros archivos desde
Internet.
Intenta inyectarse en el proceso de SERVICES.EXE.
Crea algunas de las siguientes entradas en el registro para
autoejecutarse en cada reinicio de Windows como un servicio:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALT
HKLM\SYSTEM\CurrentControlSet\Services\alt
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PEE
HKLM\SYSTEM\CurrentControlSet\Services\pee
Modifica la siguiente entrada para desactivar el servicio
Firewall de Windows y la conexión compartida a Internet
(ICS):
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "4"
Puede finalizar procesos cuyos nombres contengan algunas de
las siguientes cadenas, si los mismos están activos en el
sistema afectado:
blackice
firewall
f-pro
Hijack
lockdown
Mcafee
msconfig
nod32
reged
Registry Editor
spybot
troja
vsmon
zonea
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32,
seleccione el Control Center, Módulos de actualización, NOD32
Update y haga clic en el botón "Actualizar ahora". Compruebe
que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en
http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el
siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar
automáticamente" en su antivirus. En el caso de ESET NOD32,
seleccione Control Center, NOD32 Scanner, haga clic en el
botón "NOD32 Scanner", seleccione la casilla "Local", y haga
clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar"
cuando aparezca, o en el botón "Eliminar" cuando el botón
"Desinfectar" no esté activo. En cualquier otro caso, el
antivirus le dará el mensaje "sin acciones" y la limpieza se
efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o
eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar
automáticamente".
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 6 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_ALT
3. Haga clic en la carpeta "LEGACY_ALT" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_PEE
5. Haga clic en la carpeta "LEGACY_PEE" y bórrela.
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\alt
7. Haga clic en la carpeta "alt" y bórrela.
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\pee
9. Haga clic en la carpeta "pee" y bórrela.
10. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
11. Haga clic en la carpeta "SharedAccess" y en el panel de
la derecha, bajo la columna "Nombre", busque y cambie el
valor de la siguiente entrada por "2" en hexadecimal:
Start = "2"
12. Cierre el editor del registro.
13. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Cómo rehabilitar el servicio SharedAccess (Windows 2000 y
XP):
Este servicio habilita la resolución de nombres y direcciones
para todos los equipos de red doméstica o pequeña oficina, y
es usado para la conexión compartida a Internet, y por el
firewall (cortafuego) de Windows XP.
Para rehabilitar este servicio, siga estos pasos:
- En Windows XP Service Pack 2:
Cuando este servicio es detenido, un mensaje de atención
(globo de texto) advierte que se desconoce el estado del
firewall. Para rehabilitarlo, siga estos pasos:
1. Desde Inicio, Panel de control, seleccione el "Centro de
seguridad".
2. Si el Firewall aparece como desactivado, haga clic en la
leyenda "Firewall de Windows" (abajo) y marque la opción
"Activado (recomendado)".
3. Seleccione "Aceptar", etc.
- En Windows 2000, Windows XP, Windows XP SP1:
1. En Inicio, Ejecutar, escriba "services.msc" y pulse Enter.
2. En la columna "Nombre" busque "Conexión de seguridad a
Internet (ICF)/Conexión compartida a Internet (ICS)" (en
Windows XP), o solo "Conexión compartida a Internet (ICS)"
(en Windows 2000).
3. Haga doble clic sobre ese nombre, y en "Tipo de inicio:",
seleccione "Automático"
4. En la misma ventana, "Estado del servicio:", haga clic en
"Iniciar"
5. Pinche en "Aceptar", etc.
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - SpamTool.Mailbot.NAC. Envía spam, utiliza rootkit
_____________________________________________________________
http://www.vsantivirus.com/spamtool-mailbot-nac.htm
Nombre: SpamTool.Mailbot.NAC
Nombre NOD32: Win32/SpamTool.Mailbot.NAC
Tipo: Caballo de Troya
Alias: SpamTool.Mailbot.NAC, Mailbot.AZ, Backdoor.Rustock.Am,
BKDR_RUSTOCK.A, SpamTool.Win32.Mailbot.az,
Win32/SpamTool.Mailbot.NAC
Fecha: 22/jun/06
Actualizado: 11/jun/07
Plataforma: Windows 32-bit
Tamaño: 62,976 bytes
Caballo de Troya que utiliza el equipo infectado como
servidor proxy, actuando como intermediario entre Internet y
un grupo de usuarios. Esto le permite recibir peticiones de
un atacante remoto, y redirigirlas a Internet desde el equipo
infectado, en este caso para el envío masivo de spam.
Utiliza técnicas de rootkit para ocultar sus archivos y
entradas en el registro. Un rootkit es una herramienta que
permite acceder a un sistema como un usuario con todos los
permisos (root), que en estos casos es utilizada para ocultar
las actividades de un atacante dentro del sistema, después
que éste ha logrado ingresar a él.
Además, para dificultar su detección y eliminación, utiliza
las propiedades de almacenamiento de datos proporcionadas por
el sistema de archivo NTFS (disponible en Windows NT, 2000 y
XP). En estos sistemas, los archivos pueden contener
diferentes "flujos" de datos. A esto se le llama "file
stream". Puede compararse esto a tener varios archivos
comprimidos dentro de un solo .ZIP. Cada stream es accesible
como un archivo individual llamado ADS (Alternate Data
Stream).
Al ejecutarse, el troyano puede crear los siguientes archivos
(los nombres pueden variar según las variantes):
\TEMP\pe386.sys
c:\windows\system32\drivers\pe386.sys
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows Vista, Windows XP y Windows Server 2003. Como
"c:\winnt\system32" en Windows NT y 2000).
Puede crear el siguiente ADS (Alternate Data Stream) oculto:
c:\windows\System32:[nombre al azar]
Por ejemplo:
c:\windows\System32:18467
También crea un servicio de dispositivo oculto, con las
siguientes características:
Nombre de servicio: pe386
Nombre para mostrar: Win23 PE files loader
Ruta de acceso al ejecutable: c:\windows\System32:[nombre]
Tipo: Automático
NOTA: El nombre "pe386" puede variar.
Para habilitar dicho servicio, la siguiente entrada en el
registro es creada:
HKLM\SYSTEM\CurrentControlSet\Services\pe386
NOTA: Todas las entradas mencionadas, son ocultadas al
usuario por la característica de rootkit mencionada antes.
También intenta ocultarse de determinadas herramientas
especializadas en la detección de rootkits, en concreto de
aquellas que contengan algunas de las siguientes cadenas:
Anti-Rootkit
BlackLight
DarkSpy
endoscope.EXE
gmer.exe
Rkdetector
RootkitRevealer
El troyano intenta modificar el funcionamiento de los
siguientes archivos del sistema, para intentar eludir
cortafuegos y modificar la transferencia de paquetes vía
redes:
ndis.sys
tcpip.sys
wanarp.sys
También intenta descargar e instalar otros programas como
ICQ, y redireccionar el tráfico a determinadas páginas de
Internet.
* Reparación manual
MUY IMPORTANTE: Debido a las acciones y modificaciones que
este troyano realiza en el sistema, la única forma de
quitarlo es ingresando a Windows con la utilización de la
Consola de Recuperación (Windows XP).
Para ello, siga las instrucciones que se dan en "Acerca de la
Consola de Recuperación", y borre manualmente, desde la línea
de comandos del sistema, los archivos relacionados con el
troyano. Luego reinicie el equipo para aplicar el resto de
las instrucciones de limpieza.
* Acerca de la Consola de Recuperación
Microsoft sólo recomienda este método a los usuarios
avanzados. Se aconseja que usted se familiarice con la
consola de recuperación, mientras su sistema esté sano (NOTA:
Se requiere la contraseña administrativa para ingresar a la
consola).
Para ejecutar la consola de recuperación desde los disquetes
de inicio o desde el CD de Windows XP, siga estos pasos (para
crear los disquetes de inicio, puede utilizar las
herramientas de Microsoft cuyos enlaces podrá encontrar en
http://www.vsantivirus.com/sites.htm):
1. Inserte el disquete de inicio de Windows XP en la unidad
de disquete o inserte el CD-ROM de Windows XP en la unidad de
CD y a continuación reinicie el equipo (en algunos casos,
deberá seleccionar en el BIOS el método de inicio).
Si se le pide, haga clic para seleccionar las opciones
necesarias que se le soliciten para iniciar el equipo desde
la unidad de CD-ROM.
2. Cuando aparezca la pantalla "Programa de instalación",
presione "R" para iniciar la consola de recuperación.
3. Si tiene un equipo con inicio dual o múltiple, seleccione
la instalación a la que debe tener acceso desde la consola de
recuperación.
4. Cuando se le indique, escriba la contraseña de
administrador. Si esta contraseña estuviera en blanco, solo
presione la tecla ENTER.
5. En el símbolo del sistema, escriba los comandos apropiados
para borrar manualmente los archivos relacionados con el
troyano, que son los que se indican en la descripción del
mismo.
Para obtener una lista de los comandos disponibles en la
consola de recuperación, escriba "RECOVERY CONSOLE COMMANDS"
o "HELP" (en todos los casos, sin las comillas), en el
símbolo del sistema y presione la tecla ENTER.
Para obtener más información acerca de un comando específico,
escriba "HELP nombre_del_COMANDO" en el símbolo del sistema y
presione ENTER.
6. Para salir de la consola de recuperación y reiniciar el
equipo, escriba "EXIT" en el símbolo del sistema y presione
ENTER.
Más información sobre el uso de la Consola de Recuperación:
http://support.microsoft.com/default.aspx?scid=kb;es;E307654
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32,
seleccione el Control Center, Módulos de actualización, NOD32
Update y haga clic en el botón "Actualizar ahora". Compruebe
que la versión de firmas de virus sea la misma que aparece en
http://www.nod32.com.uy o en
http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el
siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar
automáticamente" en su antivirus. En el caso de ESET NOD32,
seleccione Control Center, NOD32 Scanner, haga clic en el
botón "NOD32 Scanner", seleccione la casilla "Local", y haga
clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar"
cuando aparezca, o en el botón "Eliminar" cuando el botón
"Desinfectar" no esté activo. En cualquier otro caso, el
antivirus le dará el mensaje "sin acciones" y la limpieza se
efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o
eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar
automáticamente".
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 6 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
3. Haga clic en la carpeta "Services" y busque y borre la
carpeta cuyo nombre haga referencia a los archivos detectados
en el punto 6 del ítem "Antivirus" (por ejemplo "pe386").
4. Cierre el editor del registro.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No 2468 Año 11, martes 12 de junio de 2007
|
VSantivirus No 246
Responder a este mensaje
