Mostrando mensaje 180     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1131 Año 7, Martes 12 de agosto de 2003 Fecha: Martes, 12 de Agosto, 2003  07:01:57 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1131 Año 7, Martes 12 de agosto de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Lovsan, Blaster o MSBlast. Una pesadilla anunciada 2 - W32/Lovsan.A (MSBlast). Utiliza la falla en RPC _____________________________________________________________ 1 - Lovsan, Blaster o MSBlast. Una pesadilla anunciada _____________________________________________________________ http://www.vsantivirus.com/ev12-08-03.htm Lovsan, Blaster o MSBlast. Una pesadilla anunciada Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Una gran cantidad de equipos infectados por el gusano Lovsan.A, demuestra que la mayoría de las personas no actualiza jamás su sistema operativo (recordemos que Windows ofrece también una actualización automática, que muchas veces es desactivada por los usuarios). Lovsan, también conocido como Blaster, MSBlast o Poza, utiliza la vulnerabilidad RPC DCOM, reportada a mediados de julio por Microsoft, y para la cuál existe desde ese entonces un parche (boletín MS03-026 de Microsoft). El gusano se propaga a través del puerto TCP/135, el cuál permite compartir recursos con otras computadoras. Busca otros sistemas vulnerables y crea un shell (sesión de comandos), en el puerto TCP/4444 para descargar el archivo MSBLAST.EXE, el gusano propiamente dicho. Por los reportes recibidos, la mayoría de las infecciones se han producido entre usuarios de canales de IRC y grupos de noticias, donde muchos usuarios incautos y desprotegidos, han abierto literalmente las puertas de sus computadoras al ingreso de código malicioso, causando una propagación de grandes proporciones. Muchos usuarios aún ignoran estar infectados, y se ven cientos de mensajes en grupos de noticias, pidiendo ayuda por la aparición de mensajes como este: "Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHY\SYSTEM". Este mensaje, que aparece antes del reinicio del equipo infectado (y vuelve a aparecer en forma continua luego de reiniciar), es una consecuencia secundaria causada por un error en el componente utilizado para aprovecharse de la vulnerabilidad en el servicio RPC (Llamada a Procedimiento Remoto). Aún cuando la instalación del parche mencionado es importante, la existencia de un cortafuegos activo, también podría haber evitado la infección. Algunos no los utilizan, porque en ocasiones, se les dificulta el acceso a redes de intercambio de archivos (P2P). Lamentablemente, las consecuencias de esta actitud, pueden ser peores. En el caso de este gusano, aún cuando existen formas de eliminarlo, nunca se podría saber hasta que punto un intruso hizo de las suyas en la computadora infectada, por lo que la única solución realmente segura, en el caso de haber aparecido un mensaje como el mencionado, es formatear y reinstalar el sistema operativo seguido de las actualizaciones disponibles, incluido el parche mencionado. Pero el gusano posee otra característica que lo vuelve altamente destructivo. En determinadas fechas, comenzando el 16 de agosto de 2003, todas las computadoras infectadas pueden enviar al puerto 80 del servidor de actualizaciones de Microsoft (Windowsupdate.com), miles de solicitudes falsas, lo que podría ocasionar el bloqueo del mismo. Esto impediría actualizar Windows, con lo que el propio gusano tendría más probabilidades de propagarse. Y si en pocas horas, el mismo ha causado tantos estragos, dicha situación podría ser preocupante. Un gusano como éste, es solo uno de tantos posibles que se han venido anunciando desde que se hizo público el primer exploit que se aprovechaba de esta vulnerabilidad crítica (en julio), y que los expertos han estado advirtiendo desde ese entonces. (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=250 * Más información: W32/Lovsan.A (MSBlast). Utiliza la falla en RPC http://www.vsantivirus.com/lovsan-a.htm Ayudando a crear un gusano http://www.vsantivirus.com/26-07-03.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Lovsan.A (MSBlast). Utiliza la falla en RPC _____________________________________________________________ http://www.vsantivirus.com/lovsan-a.htm Nombre: W32/Lovsan.A (MSBlast) Tipo: Gusano de Internet Alias: W32/Lovsan.worm, MSBlast, Exploit-DcomRpc (variant), W32.Blaster.Worm, Win32.Poza, WORM_MSBLAST.A, W32/Blaster-A, Win32/Lovsan.A, Poza, Win32.Poza, Blaster Fecha: 11/ago/03 Plataforma: Windows 2000, XP Reportado por: varios Tamaño: 6,176 bytes Este gusano fue reportado por primera vez el 11 de agosto de 2003, y rápidamente se propagó a través de computadoras con Windows 2000 y XP principalmente, que no tenían el parche que soluciona la vulnerabilidad en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código (ver el parche MS03-026 en el siguiente artículo: http://www.vsantivirus.com/vulms03-026-027-028.htm). En ocasiones, y debido a un error en el exploit utilizado para aprovecharse de la falla mencionada, se muestra el siguiente mensaje antes de que el sistema se cierre: Apagar el sistema Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHY\SYSTEM Tiempo restante para el apagado: xx:xx:xx Mensaje Windows debe reiniciar ahora porque el servicio Llamada a procedimiento remoto (RPC) terminó de forma inesperada Esto ocurrirá continuamente hasta que sea limpiada la infección y se tomen otras precauciones que se detallan más adelante en este artículo. IMPORTANTE: Se debe tener en cuenta que este mensaje no es exclusivo de este gusano, sino de cualquier código maligno que se aproveche de ciertos exploits para la vulnerabilidad DCOM/RPC. Además de ello, recuerde que existen otros exploits que no producen este mensaje. De todos modos, la aparición de un mensaje similar, amerita como opción más segura, la reinstalación del sistema operativo, previo formateo. Esto es así, puesto que es un indicador de que hay puertas abiertas en el PC infectado, y por consiguiente cualquier clase de archivo malicioso pudo haber sido instalado (más información al final del artículo). Respecto a este gusano, también se han recibido reportes de otras inestabilidades causadas por el mismo en un sistema infectado, con cuelgues incluidos. Esto afecta principalmente al componente SVCHOST.EXE de Windows 2000 y XP (lanzador de servicios). El gusano hace uso de los siguientes archivos: msblast.exe tftp.exe MSBLAST.EXE es el gusano propiamente dicho, un archivo comprimido con la utilidad UPX. TFTP.EXE es un cliente FTP (Trivial FTP), incluido por defecto en la instalación de Windows 2000, XP y Server 2003. El gusano simula su propio servidor TFTP. Este archivo no es propagado por el gusano, y solo se menciona porque en los primeros reportes se hacía referencia a él. TFTP (Trivial File Transfer Protocol), es una versión simplificada de FTP (File Transfer Protocol), un protocolo que permite la transferencia de archivos entre dos computadoras conectadas en red. El gusano se propaga a través del puerto TCP/135, copiándose en las computadoras que no poseen el parche para la vulnerabilidad DCOM/RPC. Esto solo ocurre en Windows 2000 y XP (también es vulnerable Windows Server 2003). Una forma fácil de evitar esto, es habilitar el cortafuego del propio Windows XP, o instalar un cortafuegos personal como Zone Alarm (recomendamos esta segunda opción). Vea como hacerlo al final del artículo. RPC (Llamada a Procedimiento Remoto), es un protocolo que proporciona a Windows un mecanismo de comunicación entre procesos para que un programa que se está ejecutando en un equipo ejecute fácilmente código en un equipo remoto. La vulnerabilidad afecta las interfaces del protocolo DCOM. DCOM (Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto de interfaces que permiten a los clientes y servidores comunicarse. Usando una interface DCOM, un programa puede iniciar una Llamada de Procedimiento Remoto (RPC) a un objeto de otro programa. La falla mencionada (un desbordamiento de búfer), permite que se pueda ejecutar código en forma aleatoria, enviando mensajes construidos maliciosamente entre procesos específicos. Cuando se ejecuta MSBLAST.EXE, el gusano crea un MUTE en memoria con el nombre de BILLY (un MUTE es un semáforo que le indica a otros procesos que el gusano está activo). Luego, el gusano agrega la siguiente clave en el registro, para autoejecutarse en cada reinicio del sistema: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows auto update = msblast.exe I just want to say LOVE YOU SAN!! bill En ocasiones, solo será el nombre del ejecutable en la misma rama del registro: Windows auto update = msblast.exe Una vez en memoria, el gusano escanea direcciones IP al azar, buscando otros sistemas vulnerables en el puerto TCP/135. Aprovechándose de la vulnerabilidad DCOM RPC, crea un shell remoto (ejecutando CMD.EXE) en el puerto TCP/4444 de la máquina infectada (un SHELL es un intérprete de comandos que interpreta y activa los comandos o utilidades introducidos por el usuario). No hay indicios de que el puerto siga abierto después del envío de las instrucciones. Usando este shell, el gusano ejecuta un comando TFTP (get) para descargar el gusano propiamente dicho en el directorio System32 de Windows (la carpeta "System32" está en C:\Windows (Windows XP) o C:\WinNT (Windows NT y 2000), por defecto): c:\windows\system32\msblast.exe Valiéndose de la mencionada vulnerabilidad, ejecuta luego a este archivo, repitiendo el ciclo visto antes. El gusano utiliza una rutina de propagación que optimiza la infección en las redes más cercanas al host infectado. Para ello, genera 20 direcciones al azar por vez, tomando como base la dirección IP actual de la computadora infectada. Por ejemplo, si la dirección IP del host es AAA.BBB.CCC.DDD, las direcciones generadas por el gusano al comienzo tendrán AAA y BBB iguales a los del host. DDD siempre será cero, y CCC será un número al azar entre 0 y 253. Si el número es mayor de 20, se le restará otro valor menor de 20 también al azar. Después de ello, alternará las siguientes combinaciones: AAA será un número de 1 a 254 BBB será un número de 0 a 253 CCC será un número de 0 a 253 DDD será siempre 0 Con las direcciones generadas, el gusano escanea otras computadoras vulnerables, siempre hasta 20 direcciones IP al mismo tiempo. Intentará conectarse al puerto 135 en cada una de las 20 computadoras examinadas por vez, registrando cada conexión exitosa. En esos casos, utiliza uno de los exploits que se aprovechan de la vulnerabilidad DCOM/RPC, para infectar a su víctima como ya se explicó (el exploit, DCOM.C o similar, está en el código del propio gusano). Como resultado de toda esta actividad, la subred local será saturada con pedidos al puerto 135. Además de todo ello, el gusano está preparado para realizar ataques distribuidos de denegación de servicio (DDoS), al servidor de actualizaciones de Microsoft, con la intención es impedir la descarga del parche que evita que el propio gusano pueda propagarse. Para ello, y comenzando el 16 de agosto de 2003, todas las máquinas infectadas pueden enviar en forma masiva, una gran cantidad de paquetes de 40 bytes, en intervalos de 20 milisegundos, al puerto 80 de "windowsupdate.com". Los ataques se producirían desde el día 16 hasta el último día de cada uno de los meses de enero, febrero, marzo, abril, mayo, junio, julio y agosto. También ocurrirían cualquier día de los meses de setiembre y diciembre. El gusano también se ejecuta como un servidor TFTP en la computadora atacada usando el puerto UDP/69, con lo que permite que la víctima sirva de host a otros usuarios para que descarguen de allí una copia del gusano (MSBLAST.EXE). En su código, el gusano contiene el siguiente texto (no mostrado al usuario): I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Estas son todas las cadenas presentes en el gusano: bash-2.05b$ strings -8 /tmp/msblast.exec !This program cannot be run in DOS mode. msblast.exe I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! windowsupdate.com start %s tftp -i %s GET %s %d.%d.%d.%d %i.%i.%i.%i windows auto update SOFTWARE\Microsoft\Windows\CurrentVersion\Run ioctlsocket inet_addr inet_ntoa recvfrom setsockopt gethostbyname gethostname closesocket WSAStartup WSACleanup getpeername getsockname WSASocketA InternetGetConnectedState ExitProcess ExitThread GetCommandLineA GetDateFormatA GetLastError GetModuleFileNameA GetModuleHandleA CloseHandle GetTickCount RtlUnwind CreateMutexA TerminateThread CreateThread RegCloseKey RegCreateKeyExA RegSetValueExA __GetMainArgs WS2_32.DLL WININET.DLL KERNEL32.DLL ADVAPI32.DLL CRTDLL.DLL * Recomendaciones: Instalar parches descriptos en el siguiente artículo: Tres nuevos parches: MS03-026, MS03-027 y MS03-028 http://www.vsantivirus.com/vulms03-026-027-028.htm Filtrar con un cortafuegos los siguientes puertos: udp/135 udp/137 udp/138 tcp/135 tcp/445 tcp/593 tcp/69 udp/69 * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Finalizando el proceso del virus en memoria Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos: 1. Detenga el proceso del virus en memoria, pulsando CTRL+SHIFT+ESC (Windows 2000 y XP). 2. En la lista de tareas, señale la siguiente: MSBLAST.EXE 3. Seleccione el botón de finalizar tarea en la lengüeta Procesos. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Windows auto update 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Reparación automática Descargue y ejecute la herramienta "Cleaning utility for Win32/Poza.Worm 1.0.0" proporcionada gratuitamente por Computer Associates (333Kb). Cleaning utility for Win32/Poza.Worm 1.0.0 http://www.vsantivirus.com/lovsan-a.htm Copyright (c) 2003, Computer Associates International, Inc. Descomprima el contenido del siguiente archivo en alguna carpeta, y luego haga doble clic sobre el archivo CLNPOZA.COM. IMPORTANTE: Se recomienda cerrar antes todas las ventanas activas, y desactivar cualquier otro antivirus monitoreando. La herramienta finaliza cualquier proceso en memoria del W32/Lovsan.A (o Win32/Poza.Worm). Luego busca el archivo del gusano en todos los discos, lo elimina y finalmente modifica las claves del registro. Luego de la ejecución, reinicie la computadora, y siga las demás instrucciones (instalación de parches, cortafuegos, etc.). * Información adicional * Vulnerabilidad en RPC (Remote Procedure Call) Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP. Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC). Descargue y ejecute el parche correspondiente (MS03-026) desde el siguiente enlace: Tres nuevos parches: MS03-026, MS03-027 y MS03-028 http://www.vsantivirus.com/vulms03-026-027-028.htm * IMPORTANTE Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. También instale los parches mencionados más adelante. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano. * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1131 Año 7, Martes 12 de agosto de 2003