| Asunto: | VSantivirus No. 1128 Año 7, Sábado 9 de agosto de 2003 | | Fecha: | Sabado, 9 de Agosto, 2003 05:15:39 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1128 Año 7, Sábado 9 de agosto de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - El Monólogo de un Spyware
2 - El ataque que paralizó a Microsoft
3 - W32/Mant.A. Se propaga usando el KaZaa o el Morpheus
4 - Troj/Aphexdoor.LiteSock. Troyano que redirige tráfico
5 - W32/Sowsat.C. Puede llegar como aviso de virus
_____________________________________________________________
1 - El Monólogo de un Spyware
_____________________________________________________________
http://www.vsantivirus.com/lz-mono-spyware.htm
El Monólogo de un Spyware
Por Lissette Zapata
liszapata@videosoft.net.uy
Me llaman programa espía, aunque también me dicen Spyware.
Soy miembro de una nueva generación de "bichos", y muchos no
nos toman en cuenta. Incluso en las corporaciones más grandes
ni saben que existimos, y por supuesto, no saben de nuestro
modesto trabajo.
Como spyware puedo inundar cualquier PC con anuncios
automáticos, y anidarme en su disco duro, coleccionando todos
los movimientos de su propietario, mientras éste navega
ignorante de mi presencia. Por supuesto, sin olvidar mi más
grande objetivo, obtener sus hábitos de compra vía Web.
Al tener esta información fielmente se la transmito a mi
creador, el cuál suele ser una "seria" compañía de
investigación de mercadeo, que lucra con mi trabajo para
vender a otros ésta información, y con ello, abrirle paso a
otra respetable especie a la que algunos suelen llamar Spam.
El objetivo de ésta última raza es bombardear su PC con más
anuncios, que estoy seguro le ayudarán, aunque siempre puede
existir alguien a quien le moleste. Pero le aseguro que todo
lo que le llegue, siempre será producto de la más ardua
investigación. Y esa es mi satisfacción, brindarle más
opciones para que usted pueda visitarlas.
Me llena de orgullo saber que mi especie está evolucionando,
pues ya existe una casta superior llamada Adware, la cuál
prácticamente se "ata" a su navegador. Incluso pueden cambiar
su página de inicio, o modificar la forma de agregar sus
favoritos.
Los más intrépidos de esa raza, los llevan a sitios
pornográficos, y su obra máxima es fusionarse con las
aplicaciones mas comunes como el correo electrónico,
requiriendo memoria y espacio en su disco duro, llegando a
veces a congelar el sistema de su PC (un pequeño
inconveniente por tanto beneficio).
Y todo esto lo hacemos con legalidad, ya que después de todo,
fue usted el que dijo "yo estoy de acuerdo". Aunque debo
reconocer que algunos de mis congéneres son un poco rebeldes,
y no piden consentimiento, instalándose automáticamente al
abrir usted algún spam que le fue enviado, o al visitar
cierta Web que le solicita instalar "un driver antes de bajar
algo de esa página".
Hay otra técnica que usamos bastante, y es la de abrir muchas
ventanas después de que se llegó a determinado sitio. Son
tantas que usted no puede cerrarlas todas, y mientras lucha
por hacerlo, el sitio nos envía a su PC. Es que somos muy
ansiosos.
Pero siempre hay gente disconforme con todo, que nos lleva la
contraria. Es que algunos intolerantes están tomando
conciencia de nuestra existencia, y hasta muchas compañías
van a paso lento descubriendo que ya hay herramientas para
sacarnos de sus computadoras.
Los proveedores de Internet y las empresas ponen cortafuegos
para impedir que lleguen virus, pero por suerte la mayoría no
piensan en la información que sale de sus equipos, producto
de nuestra presencia allí.
Por suerte, mientras usted siga abriendo correos spam, y
dando su aprobación a todo lo que se le pide instalar desde
cualquier página Web, sin leer el acuerdo de licencia (puras
nimiedades por cierto), ¡yo tendré asegurado mi trabajo!!!
* Glosario:
SPYWARE - Se le llama así a aquellos programas que sin
avisarle, monitorean las acciones de quienes utilizan los
productos de una determinada compañía. Varias empresas han
utilizado o utilizan todavía algún tipo de software para
recoger información sobre los hábitos y las acciones de sus
clientes. Esta práctica es condenada en casi todos los
países, y más cuando se hace en forma clandestina y sin dar
mayores datos de que tipo de información o que uso se le dará
a la misma.
SPAM - Correo electrónico que se recibe sin haber sido
solicitado, también conocido como "correo basura". Un envío
masivo de "spam" puede provocar un colapso en el ordenador
que los recibe, en este caso se les denomina "mailbombing".
ADWARE - Todo tipo de programa que incluye publicidad a
cambio de su uso gratuito.
* Relacionados::
El problema del Spyware
http://www.vsantivirus.com/mr-spyware.htm
SPYWARE (software espía) y ADWARE (publicidad no deseada)
http://www.vsantivirus.com/jm-spyware.htm
SpywareBlaster, previene la instalación de Spyware
http://www.vsantivirus.com/spywareblaster.htm
El peligro del Spyware
http://www.vsantivirus.com/agr-peligro-spyware.htm
Las aplicaciones P2P que usted no debería usar
http://www.vsantivirus.com/lista-p2p.htm
SpywareBlaster, previene la instalación de Spyware
http://www.vsantivirus.com/spywareblaster.htm
Maldito, maldito spam (Por Eugenio Siccardi)
http://www.vsantivirus.com/sicc-malditospam.htm
En la lucha contra el SPAM, ¿hay secuelas?
http://www.vsantivirus.com/lz-spam-secuelas.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - El ataque que paralizó a Microsoft
_____________________________________________________________
http://www.vsantivirus.com/lz-ataque-ms.htm
El ataque que paralizó a Microsoft
Por Lissette Zapata
liszapata@videosoft.net.uy
Un ataque DoS paralizó la pagina principal de Microsoft por
más de una hora y media.
Tras sufrir un ataque de negación de servicio (DoS) a gran
escala, que hizo imposible acceder a su página principal por
espacio de hora y media, Microsoft ha comenzado las
investigaciones sobre dicho evento. Oficialmente ya se ha
confirmado que el suceso comenzó a la 1:21 PM (hora del
Pacífico) y duró aproximadamente una hora y cuarenta minutos
de la tarde del viernes 1ro de agosto (hora de Estados
Unidos).
Dicho ataque consistió principalmente en desbordar los
servidores con un enorme e incesante flujo de peticiones a
www.microsoft.com. Al no poder atenderlas, finalmente se
bloquearon, paralizando el servicio.
En el comunicado oficial, Microsoft asegura que dicho
acontecimiento no tuvo ninguna relación con alguna
vulnerabilidad en el software de la compañía. Sin embargo, el
hecho se produce en momentos en que los expertos en seguridad
están previniendo que pueda ocurrir un ataque masivo que se
aproveche, entre otras cosas, de un agujero de seguridad en
la función RPC de Windows (MS03–026).
En este contexto, cabe señalar que el ataque DoS contra
Microsoft.com, hizo imposible descargar durante el tiempo que
el sitio estuvo fuera de línea, el parche que corrige
justamente dicha vulnerabilidad.
Finalmente Microsoft informa que se encuentra analizando el
ataque junto con agentes del FBI, con la intención de
identificar a los responsables y presentar cargos contra
ellos.
* Relacionados:
El CERT advierte sobre inminentes ataques
http://www.vsantivirus.com/cert-ca-2003-19.htm
Ayudando a crear un gusano
http://www.vsantivirus.com/26-07-03.htm
Tres nuevos parches: MS03-026, MS03-027 y MS03-028
http://www.vsantivirus.com/vulms03-026-027-028.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Mant.A. Se propaga usando el KaZaa o el Morpheus
_____________________________________________________________
http://www.vsantivirus.com/mant-a.htm
Nombre: W32/Mant.A
Tipo: Gusano de Internet (P2P)
Alias: W32.Mant.Worm, Worm.P2P.Milcan, W32/Milcan.worm!p2p
Tamaño: 154,112 bytes
Plataforma: Windows 32-bit
Este gusano se propaga a través de las redes de intercambio
de archivos entre usuarios KaZaA y Morpheus. Debido a errores
en su código, un equipo infectado puede funcionar
erráticamente.
Cuando se ejecuta, el gusano examina si se encuentra
instalado el KaZaa o el Morpheus. Si no existiera ninguno de
los dos programas, muestra una ventana con un mensaje de
error y finaliza su ejecución.
En caso contrario, se copia en cualquiera de los siguientes
directorios que exista, o en la carpeta que el KaZaa y el
Morpheus tengan compartida:
c:\
c:\My Shared Folder
[carpeta compartida del KaZaa]
[carpeta compartida del Morpheus]
Utiliza los siguientes nombres de archivos:
BF1942 keygen.exe
CS keygen.exe
Delphi 6 keygen.exe
Disturbed - Down with the Sickness.exe
Keygen.exe
Norton AntiVirus 2003 Keygen.exe
Porn Hotline.exe
Pornography.exe
The Sims.exe
Visual Studio 6 Keygen.exe
Visual Studio 7 Keygen.exe
Windows XP Keygen.exe
También se copia en la carpeta de Windows:
c:\windows\Cfgsystem.exe
c:\windows\Tman95.exe
NOTA: "C:\Windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "C:\Windows" en Windows
9x/ME/XP o "C:\WinNT" en Windows NT/2000).
En algunos casos, el gusano bloquea la computadora al
copiarse, obligando a tener que reiniciarla. Esto no es un
efecto previsto, sino que parece ser un error en el código
del mismo.
El gusano no tiene ninguna rutina extra para modificar el
registro u otros archivos, para autoejecutarse. Tampoco porta
ninguna rutina destructiva en su código.
* Reparación manual
* Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este
programa, hasta haber quitado el gusano del sistema, para
prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" >
"Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa
folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
* Deshabilitar las carpetas compartidas en Morpheus
1. Ejecute Morpheus.
2. Seleccione "Options" del menú "Edit".
3. Seleccione la opción "Traffic" de la lista de opciones.
4. En Limits, en la entrada "Maximum simultaneous uploads",
borre el valor anterior (por ejemplo "5"), escriba "0"
(cero), y pinche en OK.
5. Pinche en "Aceptar", etc.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\Cfgsystem.exe
c:\windows\Tman95.exe
También borre los siguientes archivos en las carpetas por
defecto del KaZaa o del Morpheus (pueden tener un tamaño de
cero bytes, si falló antes el gusano, como se explica en la
descripción:
BF1942 keygen.exe
CS keygen.exe
Delphi 6 keygen.exe
Disturbed - Down with the Sickness.exe
Keygen.exe
Norton AntiVirus 2003 Keygen.exe
Porn Hotline.exe
Pornography.exe
The Sims.exe
Visual Studio 6 Keygen.exe
Visual Studio 7 Keygen.exe
Windows XP Keygen.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Troj/Aphexdoor.LiteSock. Troyano que redirige tráfico
_____________________________________________________________
http://www.vsantivirus.com/aphexdoor-litesock.htm
Nombre: Troj/Aphexdoor.LiteSock
Tipo: Caballo de Troya de acceso remoto
Alias: LiteSocks, Backdoor.Aphexdoor.Litesock, Lite-Socks,
Lite-SOCKS4, Win32/Aphexdoor.LiteSock, BackDoor.LiteSock
Fecha: 1/ago/03, oct/02
Plataforma: Windows 32-bit
Tamaño: 2.688 bytes
Puertos: TCP/113, TCP/666 por defecto
Troyano que posibilita a un intruso utilizar la computadora
infectada como proxy para redireccionar sus propias
comunicaciones a Internet. Esto protege al intruso de ser
rastreado eficazmente, y dificulta el seguimiento de los
rastros de un pirata informático, si se utiliza
maliciosamente.
Se trata de una herramienta de administración remota (RAT,
Remote Administration Tool), creada en octubre de 2002, pero
reportada recientemente en acción, en un número importante de
equipos.
Cuando se ejecuta, permite a un atacante tomar el control de
la máquina infectada. No posee rutina de propagación, y suele
distribuirse manualmente, generalmente bajo la premisa de que
es una inocente utilidad. Los canales de distribución más
usados son el correo electrónico, listas de noticias
(newsgroups), canales de IRC, y redes P2P como KaZaa y otros.
El archivo puede tener cualquier nombre, y cuando se ejecuta,
establece una conexión a Internet, quedando a la espera de
las órdenes remotas.
Típicamente, puede ser usado para permitir ataques a otras
computadoras. A diferencia de otros troyanos de este tipo,
también puede ser usado para acceder a áreas específicas de
la propia computadora infectada.
Cuando se ejecuta, se copia normalmente con el siguiente
nombre en el directorio de Windows:
c:\windows\socks4.exe
También se agrega a la siguiente rama del registro para
autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
socks4.exe = c:\windows\socks4.exe
Nota: SOCKS4.EXE puede ser cualquier otro nombre.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
socks4.exe
Nota: SOCKS4.EXE puede ser cualquier otro nombre.
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Sowsat.C. Puede llegar como aviso de virus
_____________________________________________________________
http://www.vsantivirus.com/sowsat-c.htm
Nombre: W32/Sowsat.C
Alias: W32.Sowsat.C@mm, W32.Sowsat@mm
Fecha: 8/ago/03
Plataforma: Windows 32-bit
Variante del Sowsat con mínimos cambios. Se trata de un
gusano de correo electrónico, escrito en Borland Delphi y
comprimido con la utilidad UPX, que se envía masivamente
utilizando su propio motor SMTP (no depende por lo tanto del
cliente de correo usado por a víctima).
Los mensajes enviados tienen estas características:
De: AVP-Team(AVP.Mailer@avp.com)
Asunto: AVP-Virus-Warning
Texto:
New virus in "The Wild" called "W32/Cow".Spreads
through e-mail and IRC.A solution is this free
program.Send this message to your friends.
Thank you, AVP Team
De: piadeiros@risadinha.com.br
Asunto: Piada do Paciente Galo
Texto:
Um paciente chegou com o psiquiatra e disse:
- Doutor, eu sou um galo...
De: jonas.rc@yahoo.com.b
Asunto: Ei, psiu...
Texto:
Nada. Te peguei...Gosto muito de voc, viu ?
Estou com saudades. De seu amigo, Jonas.
De: notice@programese.kit.net
Asunto: Bom dia !!!
Texto:
Feliz Aniversrio !!!
En todos los casos, utiliza como datos adjuntos archivos con
diferentes nombres y extensión .EXE.
La infección se produce cuando el usuario ejecuta dicho
archivo. Cuando ello sucede, el gusano crea el siguiente
directorio si no existe (sin importar la versión de Windows):
c:\windows\temp
Se copia luego con uno de los siguientes nombres:
c:\windows\temp\Taskmgr320.exe
c:\windows\temp\Taskmgr321.exe
c:\windows\temp\Taskmgr322.exe
c:\windows\temp\Taskmgr323.exe
c:\windows\temp\Taskmgr324.exe
c:\windows\temp\Taskmgr325.exe
c:\windows\temp\Taskmgr326.exe
c:\windows\temp\Taskmgr327.exe
c:\windows\temp\Taskmgr328.exe
c:\windows\temp\Taskmgr329.exe
Crea un archivo ZIP con un nombre que representa la cantidad
de veces que el gusano se ha ejecutado en esa computadora.
Por ejemplo, cuando se ejecutó 20 veces, este sería el
nombre:
c:\windows\temp\20.zip
El ZIP contiene información obtenida de la computadora
infectada.
El gusano crea además un directorio con un nombre de 12
dígitos que representa el día mes y año, más la hora de su
ejecución [DDMMAAHHmmss], en un formato como el siguiente:
c:\windows\temp\día+mes+año+hora+minutos+segundos\
Por ejemplo, si se ejecutó a las 12:30:54 del 9 de agosto de
2003:
c:\windows\temp\090803123054\
También agrega los siguientes valores al registro, para poder
autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
cftmon32 = [uno de los ejecutables del gusano]
Además crea las siguientes entradas:
HKCU\Software\Microsoft\Windows\
cftmon32 = "Java Compiler"
jto = [nombre del directorio DDMMAAHHmmss]
pcount = [veces que se ejecutó]
Luego, busca direcciones electrónicas en archivos con
extensión HTML en la máquina infectada, para autoenviarse a
ellas, como un adjunto en mensajes como los ya vistos. Para
el envío se conecta al servidor SMTP, smtp.uol.com.br.
Por último, intenta enviar al autor del gusano, el archivo
.ZIP creado antes.
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
KEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
cftmon32
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
5. Pinche en la carpeta "Windows" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre las
siguientes entradas:
cftmon32
jto
pcount
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1128 Año 7, Sábado 9 de agosto de 2003
|
VSantivirus No. 11
Responder a este mensaje
