Mostrando mensaje 18     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 969 - Año 7 - Lunes 3 de marzo de 2003 Fecha: Lunes, 3 de Marzo, 2003  10:08:44 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 969 - Año 7 - Lunes 3 de marzo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Por favor... NO REENVIE este mensaje a sus conocidos 2 - Hoax: Usted es uno de nuestros ganadores 3 - Hoax: Ganador de la lotería de Bélgica 4 - Hoax: Niño hospitalizado 5 - W32/Opasoft.P. Detiene antivirus, borra el disco duro _____________________________________________________________ 1 - Por favor... NO REENVIE este mensaje a sus conocidos _____________________________________________________________ http://www.vsantivirus.com/hoax-spam.htm Por favor... NO REENVIE este mensaje a sus conocidos Por Jose Luis Lopez videosoft@videosoft.net.uy Vaya... Acabo de ganar la lotería de Bélgica... :) Noticias cómo estas, en épocas de crisis, por cierto que llegan a hacernos prestar atención al correo recibido. Pero... ¿alguna vez aprenderemos que la red es un medio tan fácil y cómodo de enviar cualquier mensaje, ya que cualquier puede hacerse pasar por cualquier persona?... En fin... Seguirán apareciendo estos mensajes, y seguiremos respondiendo a aquellos usuarios que nos escriben para validar o no, determinada falsa alarma de virus, o una cadena solidaria para salvar la vida de pequeños bebés (aunque pasen los años, los mensajes vuelven a aparecer cada cierto tiempo, y siempre son bebés). "Tenemos un BEBA de 20 meses, que SUFRE una CARDIOPATIA CONGENITA"... Si, hay que ser muy inhumano para no conmoverse con cosas así. Salvo por el hecho que hemos visto el mismo texto decenas de veces, con bebas de Argentina, Uruguay, España, México, etc.... Solo cambia el nombre a veces y el país. El texto es siempre el mismo (¡ni siquiera se pueden tomar el trabajo de crear un nuevo mensaje!). Los únicos beneficiados siempre son ciertas compañías que basan sus fortunas enviándonos publicidad que ninguna gracia nos hace, a la hora de ver como se llenan nuestras casillas, con todo lo que ello significa. También están aquellos que nos dicen que "por cada e-mail enviado mi hijo recibirá un centavo de dólar, entregado a mi cuenta a través del proveedor tal...". ¡Todavía no entiendo como una compañía proveedora puede saber la cantidad de mensajes reenviados!. Y mucho menos conozco caso alguno de alguien que haya recibido dinero a cambio de reenviar mensajes (salvo los spammers que se hacen millonarios por solo capturar nuestras direcciones, única consecuencia segura cada vez que reenviamos algo). Hace poco leía un comentario sobre un conocido spammer, cómodamente ubicado en un país que lo protege con sus leyes, quien mostraba su lujosa mansión, y su "sala de ordenadores" (sic), desde donde cada día enviaba millones de correo basura, por supuesto, bien cobrada a sus "auspiciantes". Bueno, cómo verán estoy mezclando en forma premeditada, dos temas muy importantes, y todavía poco conocidos por muchos. Los "bulos" (u Hoaxes) que nos piden reenviar mensajes, con el SPAM, o correo no solicitado. Y es que esto último es la única consecuencia de reenviar cualquier mensaje "a todos nuestros conocidos"... Está a nuestro alcance el aportar un grano de arena en la lucha contra el SPAM. Y ello es no reenviar JAMAS ningún mensaje en donde se nos pida hacerlo. Aún cuando sea una cadena para hacernos millonarios, o el pedido de solidaridad más justificado del mundo..., sin olvidar las advertencias de virus o los anuncios de catástrofes que colapsarán a Internet. Jamás... Jamás... Jamás reenvíe NADA en donde se le pida hacerlo... Haga su aporte en la lucha contra el SPAM, el principal beneficiado será usted mismo... PD: Y por favor NO REENVIE este mensaje a sus conocidos... ;) * Ejemplos de algunos Hoaxes conocidos: Un virus "volará" su mente y Microsoft le dará un premio http://www.vsantivirus.com/22-10-01.htm Hoax: Bill Gates está compartiendo su fortuna http://www.vsantivirus.com/hoax-bill-gates.htm Hoax: Transplante de corazón para beba de 8 meses http://www.vsantivirus.com/hoax-beba-richmedia.htm Hoax: "Cancer chain letter" http://www.vsantivirus.com/cancer.htm Hoax: Hotmail, eliminación de cuentas (SPAM) http://www.vsantivirus.com/hoax-hotmail-imagen.htm "Solidaridad con Brian" http://www.vsantivirus.com/brian.htm Hoax: 030303 (Internet colapsa el 3 de marzo de 2003) http://www.vsantivirus.com/hoax-colpaso-030303.htm Hoax: Explosivos en Objetos (SPAM) http://www.vsantivirus.com/hoax-explosivos-eta.htm Hoax: Pasar la voz (falsa cadena solidaria) http://www.vsantivirus.com/hoax-shrine-children.htm La verdad sobre Jessica Mydek, Amy Bruce, Brian Miranda... http://www.vsantivirus.com/hoax-solidarios.htm Hoax: Niño desaparecido (SPAM) http://www.vsantivirus.com/hoax-desaparecido.htm Hoax: Donación de sangre (SPAM) http://www.vsantivirus.com/hoax-donacion-sangre.htm HOAX: Gane mucha plata enviando U$S 6 por Internet http://www.vsantivirus.com/piramide.htm ¡No reenvíe mensajes para ayudar a esta beba! http://www.vsantivirus.com/hoax-carlson-beba.htm Cuidado con el virus de la credibilidad http://www.vsantivirus.com/gullibility.htm SULFNBK.EXE: LA VERDAD (o como matar mosquitos a cañonazos) http://www.vsantivirus.com/27-05-01.htm Donación de alimentos es usado en robo electrónico http://www.vsantivirus.com/hoax-carlson.htm Lo mejor y lo peor en el mismo mail (Por los chicos) http://www.vsantivirus.com/porloschicos.htm * Más hoaxes Puede encontrar una lista de las falsas alarmas más comunes, en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm, o puede consultarnos a nuestra dirección e-mail: videosoft@videosoft.net.uy cuando reciba uno de estos mensajes. Otros sitios en español donde siempre podrá encontrar información debidamente investigada y comprobada: http://www.virusattack.com.ar http://www.rompecadenas.com.ar http://www.alertaantivirus.es * En inglés: http://kumite.com/myths/myths/ http://antivirus.about.com/compute/antivirus/library/blenhoax.htm http://www.f-secure.com/hoaxes/hoax_new.shtml http://www.symantec.com/avcenter/hoax.html http://www.antivirus.com/vinfo/hoaxes/hoax.asp http://vil.nai.com/VIL/hoaxes.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Hoax: Usted es uno de nuestros ganadores _____________________________________________________________ http://www.vsantivirus.com/hoax-premio.htm Nombre: Usted es uno de nuestros ganadores Tipo: SCAM (estafa y bulo) Alias: Solo tiene 48 horas para reclamar su premio Fecha: feb/03 Idioma: Español Origen: Desconocido Muchos de los hoaxes (bulos) que han estado circulando últimamente, apelan a nuestra credibilidad (y muchas veces necesidad), al aparentar ser la posibilidad para "hacernos de unos pesos"... por supuesto, a cambio de nada... ¡Despertemos!... Nadie nos dará nada por nada, pero de seguro podemos perder al menos tiempo, y muchas veces más dinero del que soñamos recibir... Este mensaje en especial, asegura que somos los ganadores de algo... cosa que en este ejemplo no especifica. Por supuesto el mensaje y todo lo que se alega en él, es totalmente falso. La dirección que figura como remitente ni siguiera existe. El único resultado, posiblemente sea gastar el costo de una llamada internacional... Esta es una copia del mensaje: --- Mensaje original --- From: jkl@idhfidshfids.com To: Usuario Sent: Thursday, February 13, 2003 1:29 AM Subject: Urgente 5242z-5 Usuario de Nuestra Red: Usted es uno de nuestros ganadores. Para reclamar su premio, usted tiene que llamar nuestro centro de premios al 00 1 305 371 7144. El codigo unico que se la ha asignado es 4325. Por favor tenga este numero cuando llame. Solo podemos aceptar una llamada por familia. Este premio es valido para el recipiente de este e-mail y solo tiene 48 horas para reclamar su premio. Muchas gracias por haberse registrado con nosotros. 0792mlSp4-519MNrU4012EPEp2-024AkdX8230VPoN7-403Akl46 --- Final del mensaje --- Sólo bórrelo. Nunca recibirá ningún premio. Y nunca llame a un teléfono que no sea local, y mucho menos a uno de cobro (como los 0900 en algunos países), sin saber exactamente su costo. Podría llevarse una sorpresa a fin de mes. * Más hoaxes Puede encontrar una lista de las falsas alarmas más comunes, en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm, o puede consultarnos a nuestra dirección e-mail: videosoft@videosoft.net.uy cuando reciba uno de estos mensajes. Otros sitios en español donde siempre podrá encontrar información debidamente investigada y comprobada: http://www.virusattack.com.ar http://www.rompecadenas.com.ar http://www.alertaantivirus.es * En inglés: http://kumite.com/myths/myths/ http://antivirus.about.com/compute/antivirus/library/blenhoax.htm http://www.f-secure.com/hoaxes/hoax_new.shtml http://www.symantec.com/avcenter/hoax.html http://www.antivirus.com/vinfo/hoaxes/hoax.asp http://vil.nai.com/VIL/hoaxes.asp Agradecimientos: A Carlos Garrido de Montevideo, Uruguay por el envío de la muestra. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Hoax: Ganador de la lotería de Bélgica _____________________________________________________________ http://www.vsantivirus.com/hoax-loteria1.htm Nombre: Ganador de la lotería de Bélgica Tipo: Falsa confirmación de premios Alias: "Winners of the DE GLOBAL LOTTERY" Fecha: feb/03 Idioma: Inglés Origen: Desconocido Ganarse la lotería no es cosa de todos los días... Pero cuando es la de otro país, y en la que además nunca participamos por medio de algún tipo de inscripción o solicitud de cualquier tipo, tenemos que ser muy crédulos para aceptarlo... antes de empezar a pensar que hacer con el dinero... Este ejemplo lo recibimos nosotros mismos, y si fuera cierto, hoy no estaríamos escribiendo este boletín... Es que recibir un premio de US$1.150,000.00 hasta asusta... (no me pregunten donde va la coma, igual ya son muchos ceros para mi conciencia)... Lo cierto... es que no es cierto. En este caso la dirección existe... pero su buzón está repleto (¿cuántos habrán caído?). Además, pertenece a un proveedor de la India (que alguien me explique porqué el aviso del premio de la lotería oficial de un país, me llega desde otro, a miles de kilómetros de distancia). En fin... Este tipo de mensajes (como otros que nos anuncian que somos los ganadores de viajes a Florida, EE.UU), solo tienen como cometido al menos dos cosas. Una, capturar direcciones válidas revendidas luego a spammers, y otra, sirven como anzuelo para ofrecernos otras ofertas muy diferentes si llamamos --eso ocurre en el caso de los premios con pasajes para visitar Florida, El mundo de Disney, etc., en donde podemos terminar atrapados en una especie de "Tiempo compartido", pero eso si, nada de algún pasaje gratis, que algo siempre debemos pagar "como reserva", etc.--. Si usted recibe un mensaje similar, sólo bórrelo, hoy no es su día para convertirse en millonario: --- Comienzo del Mensaje --- From: "Deglobal Lottery Belgium" <deglobal_lottery@rediffmail.com> To: <videosoft@videosoft.net.uy> Sent: Tuesday, February 18, 2003 7:40 PM Subject: CONGRATULATION. DE GLOBAL LOTTERY BELGIUM. ANTWERPENSTEENWEG 116. 1000 BRUSSELS. BELGIUM. FROM:THE DESK OF THE PROMOTIONS MANAGER, INTERNATIONAL PROMOTIONS/PRIZE AWARD DEPARTMENT, REF: EGS/5798643533/02 BATCH: 14/0065/IPD ATTENTION: RE/AWARD NOTIFICATION:FINAL NOTICE We are pleased to inform you of the announcement today,19th of February 2003 ,of winners of the DE GLOBAL LOTTERY/ INTERNATIONAL PROGRAMS BELGIUM. held on 15th of December 2002, as part of our year bonanza. Your company, attached to ticket number 045-6745-2003-512,with serial number 3456-02 drew the lucky numbers 13-14-18-29-34-53,andconsequently won the lottery in the 3rd category. You have therefore been approved for a lump sum pay of US$1.150,000.00 in cash credited to file REF NO. DLP/5798643533/02. This is from total prize money of US$17.950,000.00 shared among the seventeen international winners in this category.All participants were selected through a computer ballot system drawn form 25,000 names from Middle East,Asia,Africa, America, Europe and North America as part our International Promotions Program, which is conducted annually. CONGRATULATIONS! Your fund is now deposited with a Finance and Security House insured in your name. Due to the mix up of some numbers and names, we ask that you keep this award strictly from public notice until your claim has been processed and your money remitted to your account.This is part of our security protocol to avoid double claiming or unscrupulous acts by participants of this program. We hope with a part of you prize, you will participate in our end of year high stakes US$1.3 billion International Lottery. To begin your claim,please contact your claim agent: CLARK WOOD FOREIGN SERVICE MANAGER, UNIVERSAL WINNINGS BVBA TEL:+32-485-205-909 EMAIL:universal@winning.com For due processing and remittance of your prize money to a designated account of your choice. Remember, you must contact your claim agent not later than 3rd of March 2003.After this date, all funds will be returned as unclaimed. NOTE:In order to avoid unnecessary delays and complications, please remember to quote your reference and batch numbers in every one of your correspondences with your agent. Furthermore, should there be any change of your address, do inform your claims agent as soon as possible. Congratulations again from all our staff and thank you for being part of our promotions program. Sincerely, THE PROMOTIONS MANAGER, DE GLOBAL LOTTERY BELGIUM. N.B. Any breach of confidentiality on the part of the winners will result to disqualification. Please do not reply to this mail. Contact your claim agent. --- Final del mensaje --- * Más hoaxes Puede encontrar una lista de las falsas alarmas más comunes, en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm, o puede consultarnos a nuestra dirección e-mail: videosoft@videosoft.net.uy cuando reciba uno de estos mensajes. Otros sitios en español donde siempre podrá encontrar información debidamente investigada y comprobada: http://www.virusattack.com.ar http://www.rompecadenas.com.ar http://www.alertaantivirus.es * En inglés: http://kumite.com/myths/myths/ http://antivirus.about.com/compute/antivirus/library/blenhoax.htm http://www.f-secure.com/hoaxes/hoax_new.shtml http://www.symantec.com/avcenter/hoax.html http://www.antivirus.com/vinfo/hoaxes/hoax.asp http://vil.nai.com/VIL/hoaxes.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Hoax: Niño hospitalizado _____________________________________________________________ http://www.vsantivirus.com/hoax-children-hospital.htm Nombre: Niño hospitalizado Tipo: Falso pedido de solidaridad Alias: Un centavo de dólar por cada e-mail enviado Fecha: feb/03 Idioma: Español Origen: Desconocido Fuente: http://www.alertaantivirus.es Este es uno de tantos mensajes similares sobre niños que sufren de alguna enfermedad, y requieren algún tipo de intervención quirúrgica con urgencia. El problema es que piden se reenvíe el mensaje a todos nuestros conocidos, ya que por cada mensaje reenviado, un proveedor de Internet va a entregar a la familia del pequeño, un centavo de dólar. Más allá de que la historia del mensaje es falsa, este tipo de mensajes solo colaboran con el bolsillo de los spammers, únicos beneficiados al conseguir cientos de direcciones que un mensaje así puede capturar si procedemos a su reenvío, generalmente dejando toda la lista de usuarios que ya ha reenviado el mismo. Por otra parte, si una empresa va a donar algo para alguna causa solidaria, es legítimo que lo haga a cambio de un lucro. Cómo por ejemplo, donar todo lo recaudado con la venta de algo. Pero, ¿qué sentido tiene donarlo a cambio de reenviar mensajes electrónicos?. Además, no existe una forma de controlar cuántos mensajes son reenviados para convertir esta cantidad en la suma de dinero ofrecida. Lo único seguro si reenvía este tipo de mensajes, es que empezará a recibir correo basura que nunca solicitó. Además de saturar casillas de correo y perder mucho de su valioso tiempo borrando esos mensajes. Si recibe un mensaje como éste o similar, sólo bórrelo, jamás lo reenvíe... --- Mensaje original (errores de ortografía incluidos) --- Me llamo Antonio de Roble Pérez, tengo un hijo de 12 años que sufre un grave tumor maligno en la aurícula izquierda del corazón llamado mixoma. Intento pagarle el tratamiento en el Hospital para niños de Boston, pero ni los ahorros de toda mi vida son suficientes para ello. Les agradecería de todo corazón su ayuda, sólo necesito que manden esto a tantas personas como les sea posible, un minuto de su vida puede salvar la vida de mi hijo. Por cada e-mail enviado mi hijo recibirá un centavo de dólar, enviado a mi cuenta a través de la companyia compatible. Atentamente y muy agradecido Antonio de Roble Pérez Children's Hospital Boston 300 Longwood Avenue Boston, MA 02115 617-355-6286 --- Final del mensaje --- Jamás reenvíe este tipo de mensaje. Sólo bórrelo de su bandeja de entrada. * Más hoaxes Puede encontrar una lista de las falsas alarmas más comunes, en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm, o puede consultarnos a nuestra dirección e-mail: videosoft@videosoft.net.uy cuando reciba uno de estos mensajes. Otros sitios en español donde siempre podrá encontrar información debidamente investigada y comprobada: http://www.virusattack.com.ar http://www.rompecadenas.com.ar http://www.alertaantivirus.es * En inglés: http://kumite.com/myths/myths/ http://antivirus.about.com/compute/antivirus/library/blenhoax.htm http://www.f-secure.com/hoaxes/hoax_new.shtml http://www.symantec.com/avcenter/hoax.html http://www.antivirus.com/vinfo/hoaxes/hoax.asp http://vil.nai.com/VIL/hoaxes.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Opasoft.P. Detiene antivirus, borra el disco duro _____________________________________________________________ http://www.vsantivirus.com/opasoft-p.htm Nombre: W32/Opasoft.P Tipo: Gusano de Internet Alias: Opaserv.P, W32/Opaserv.R, W32/Opaserv.worm.p, W32/Opaserv.worm.P, Trojan.Win32.OpaKill.r, Win32/Opaserv.M.worm, Win32.Opaserv.S, WORM_OPASERV.R Plataforma: Windows 32-bits Tamaño: 31,744 Bytes. Existen muchas variantes del Opasoft (u Opaserv), esta es la identificada como "P" por algunos fabricantes de antivirus. Esta versión es similar al Opasoft.L, pero con mas funciones. Opasoft detiene numerosos procesos de conocidos antivirus y otro software de seguridad al ejecutarse, y además es capaz de borrar el contenido de todo el disco duro. Antes de esto último, el gusano muestra un falso mensaje antipiratería, avisando al usuario haber detectado una copia ilegal del sistema operativo. Opasoft se propaga a través de los recursos compartidos en una red local y a través de Internet. Cuando el gusano se activa, al reiniciarse la computadora se muestra el siguiente mensaje en una pantalla de MS DOS (fondo negro, letras blancas): NOTICE: Illegal Microsoft Windows license detected! You are in violation of the Digital Millennium Copyright Act Your unauthorized license has been revoked For more information, please call us at: NOPIRACY If you are outside the USA, please look up the correct contact information on our website, at: www.bsa.org Business Software Alliance Promoting a safe & legal online world Cuando ello sucede, el gusano procede a borrar el contenido del disco duro principal. Cuando se ejecuta en Windows, el gusano busca y finaliza los siguientes procesos, pertenecientes a conocidos antivirus, cortafuegos, etc: _avpcc.exe _avpm.exe agentsvr.exe alogserv.exe anti-trojan.exe antivirus.exe ants.exe apimonitor.exe aplica32.exe apvxdwin.exe atcon.exe atguard.exe atro55en.exe atupdater.exe atwatch.exe aupdate.exe autoupdate.exe avconsol.exe avgserv9.exe avp.exe avp32.exe avpcc.exe avpm.exe avsynmgr.exe bd_professional.exe bidef.exe bidserver.exe bipcp.exe bipcpevalsetup.exe bisp.exe blackd.exe blackice.exe bootwarn.exe borg2.exe bs120.exe cdp.exe cfgwiz.exe cfgwiz.exe cfiadmin.exe cfiadmin.exe cfiaudit.exe cfiaudit.exe cfinet.exe cfinet.exe cfinet32.exe cfinet32.exe clean.exe clean.exe cleaner.exe cleaner.exe cleaner3.exe cleaner3.exe cleanpc.exe cleanpc.exe cmgrdian.exe cmgrdian.exe cmon016.exe cmon016.exe cpd.exe cpf9x206.exe cpfnt206.exe cv.exe cwnb181.exe cwntdwmo.exe defwatch.exe deputy.exe dpf.exe dpfsetup.exe drwatson.exe drweb32.exe ent.exe escanh95.exe escanhnt.exe escanv95.exe exantivirus-cnet.exe fast.exe f-check.exe filemon.exe firewall.exe flowprotector.exe fp-win.exe fp-win_trial.exe frw.exe fsav.exe fsav530stbyb.exe fsav530wtbyb.exe fsav95.exe f-sched.exe f-stopw.exe gbmenu.exe gbpoll.exe guard.exe guarddog.exe hacktracersetup.exe htlog.exe hwpe.exe iamapp.exe iamapp.exe iamserv.exe icload95.exe icloadnt.exe icmon.exe icsupp95.exe icsuppnt.exe ifw2000.exe iparmor.exe iris.exe jammer.exe kavlite40eng.exe kavpers40eng.exe kerio-pf-213-en-win.exe kerio-wrl-421-en-win.exe kerio-wrp-421-en-win.exe killprocesssetup161.exe ldpro.exe localnet.exe lockdown.exe lockdown2000.exe lsetup.exe luall.exe luau.exe lucomserver.exe luinit.exe mcagent.exe mcupdate.exe mfw2en.exe mfweng3.02d30.exe mgui.exe minilog.exe moolive.exe mrflux.exe msconfig.exe msinfo32.exe mssmmc32.exe mu0311ad.exe nav80try.exe navapw32.exe navdx.exe navstub.exe navw32.exe nc2000.exe ncinst4.exe ndd32.exe neomonitor.exe netarmor.exe netinfo.exe netmon.exe netscanpro.exe netspyhunter-1.2.exe netstat.exe nisserv.exe nisum.exe nmain.exe norton_internet_secu_3.0_407.exe npf40_tw_98_nt_me_2k.exe npfmessenger.exe nprotect.exe nsched32.exe ntvdm.exe nvarch16.exe nwinst4.exe nwtool16.exe ostronet.exe outpost.exe outpostinstall.exe outpostproinstall.exe padmin.exe panixk.exe pavproxy.exe pcc2002s902.exe pcc2k_76_1436.exe pcciomon.exe pcdsetup.exe pcfwallicon.exe pcfwallicon.exe pcip10117_0.exe pdsetup.exe periscope.exe persfw.exe pf2.exe pfwadmin.exe pingscan.exe platin.exe poproxy.exe popscan.exe portdetective.exe ppinupdt.exe pptbc.exe ppvstop.exe procexplorerv1.0.exe proport.exe protectx.exe pspf.exe purge.exe pview95.exe qconsole.exe qserver.exe rav8win32eng.exe regmon.exe rescue.exe rescue32.exe rrguard.exe rshell.exe rtvscn95.exe rulaunch.exe safeweb.exe sbserv.exe sd.exe setup_flowprotector_us.exe setupvameeval.exe sfc.exe sgssfw32.exe sh.exe shellspyinstall.exe shn.exe smc.exe sofi.exe spf.exe sphinx.exe spyxx.exe ss3edit.exe st2.exe supftrl.exe supporter5.exe sweepnt.exe swnetsup.exe symproxysvc.exe sysedit.exe taskmon.exe taumon.exe tauscan.exe tc.exe tca.exe tcm.exe tds2-98.exe tds2-nt.exe tds-3.exe tfak5.exe tgbob.exe titanin.exe titaninxp.exe tracert.exe trjscan.exe trjsetup.exe trojantrap3.exe undoboot.exe update.exe vbcmserv.exe vbcons.exe vbust.exe vbwin9x.exe vbwinntw.exe vcsetup.exe vfsetup.exe virusmdpersonalfirewall.exe vnlan300.exe vnpc3000.exe vpc42.exe vpfw30s.exe vptray.exe vscenu6.02d30.exe vsecomr.exe vshwin32.exe vsisetup.exe vsmain.exe vsmon.exe vsstat.exe vswin9xe.exe vswinntse.exe vswinperse.exe w32dsm89.exe w9x.exe watchdog.exe webscanx.exe wgfe95.exe whoswatchingme.exe whoswatchingme.exe winrecon.exe wnt.exe wradmin.exe wrctrl.exe wsbgate.exe wyvernworksfirewall.exe xpf202en.exe zapro.exe zapsetup3001.exe zatutor.exe zauinst.exe zonalm2601.exe zonealarm.exe El gusano crea luego los siguientes archivos: C:\Windows\System\WINSRV.EXE C:\Windows\System\SCR.SCR C:\Windows\MSLOAD.EXE C:\Windows\MSBIND.DLL Los primeros, son copias del gusano. El segundo es un componente necesario para su funcionamiento, y el último es un archivo de texto conteniendo una lista de las máquinas escaneadas e infectadas. En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Además, crea otros seis archivos en el directorio de Windows con nombres aleatorios, creados a partir de los nombres de otros archivos existentes en la carpeta System, pero con extensión .EXE, por ejemplo: ADVAPI32.EXE (ADVAPI32.DLL), CDFVIEW.EXE (CDFVIEW.DLL), CDM.EXE (CDM.DLL), IMGADMIN.EXE (IMGADMIN.OCX), IMGCMN.EXE (IMGCMN.DLL), LZ32.EXE (LZ32.DLL), etc. Para mostrar el mensaje sobre la copia ilegal del sistema operativo, y proceder al borrado del disco duro al reiniciarse Windows, el gusano modifica o crea los siguientes archivos: BOOTSECT.DOS, fichero de boot, es decir, del sector de arranque. AUTOEXEC.BAT, introduce la siguiente línea de código: @MSLICENF.COM BOOT.INI, añade la siguiente información: [boot loader] default=C:\ C:\="Previous Operating System on C:" MSDOS.SYS, introduce la siguiente información: [Options] Logo=0 Luego, de acuerdo al sistema operativo, realiza los siguientes cambios: Windows NT 4 - Modifica los archivos IO.SYS y COMMAND.COM en C:\ Windows Me - Modifica el archivo REGENV32.EXE, en C:\Windows\System El gusano también crea o modifica las siguientes entradas del registro para ejecutarse en próximos reinicios. HKLM\Software\Microsoft\Windows\CurrentVersion\Run Winsrv = C:\Windows\System\winsrv.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run scr = C:\Windows\System\scr.scr HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices LoadManager = C:\Windows\System\msload.exe Para propagarse a través de unidades de red y recursos compartidos, el gusano busca direcciones IP con el puerto 137 abierto (protocolo NetBIOS). Si obtiene respuesta, se trasmite por el puerto 139, copiándose en el directorio: C:\Windows de la víctima seleccionada, con el nombre de MPREXE.EXE. Primero, establece una conexión con el recurso \\hostname\C si la computadora remota le responde. Si el recurso está protegido con contraseña, prueba todas las posibilidades en las que la contraseña sea un sólo carácter (A, B, C, etc.). Si la contraseña tiene más de un carácter, prueba varias combinaciones en un ataque "de fuerza bruta". La búsqueda de direcciones IP sigue un orden. Primero, busca en la subred del equipo actual. Después, las dos subredes más próximas. Finalmente, escoge direcciones IP al azar. Crea un "mutex" (un semáforo) de nombre MPREXE46291 para saber si ya se está ejecutando en memoria, y no volver a hacerlo. * Para quitar manualmente el gusano Las instrucciones para remover este gusano son las mismas que para el Opasoft.A: http://www.vsantivirus.com/opasoft-a.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 969 - Año 7 - Lunes 3 de marzo de 2003