Mostrando mensaje 181     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1132 Año 7, Miércoles 13 de agosto de 2003 Fecha: Miercoles, 13 de Agosto, 2003  06:12:51 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1132 Año 7, Miércoles 13 de agosto de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Lo que debería saber sobre la vulnerabilidad RPC/DCOM 2 - W32/Bardiel.A. Destructivo gusano en español que usa P2P _____________________________________________________________ 1 - Lo que debería saber sobre la vulnerabilidad RPC/DCOM _____________________________________________________________ http://www.vsantivirus.com/vul-rpc-dcom.htm Lo que debería saber sobre la vulnerabilidad RPC/DCOM Por Jose Luis Lopez videosoft@videosoft.net.uy Microsoft publicó en julio, un boletín de seguridad sobre una vulnerabilidad provocada por el desbordamiento de búfer en el protocolo RPC (boletín MS03-026). Sin embargo, parecen existir no una, sino dos fallas. La primera, es la que Microsoft describía en el mencionado boletín como capaz de permitir a un atacante remoto la ejecución de código, lo que en las últimas horas ha sido ampliamente demostrado con la aparición del Lovsan.A, que aunque no se trata del primero que se aprovecha del agujero, está claro que ha sido el más notorio. La nueva falla en cambio, sería capaz de permitir un ataque de denegación de servicio, y poco se sabe de ella, salvo un misterioso boletín de seguridad MS03-032 que solo ha sido publicado por Microsoft España, sin enlaces a ningún parche (existe otro sobre tres fallas del Internet Explorer, en las mismas condiciones). Sin embargo, varios de los gusanos y troyanos que se han estado detectando desde que se anunció la falla original, se basan en exploits que en algunos casos parecen haber estado experimentando con esta segunda vulnerabilidad. Es casi seguro que las cosas en las tiendas de Microsoft no estén nada tranquilas. Además de la amenaza de ataques de denegación de servicio a uno de sus propios sitios provocados por el Lovsan a partir del 16 de agosto, aparece el extraño hecho de que este parche misterioso no se haya publicado aún en forma oficial. Por lo pronto, lo cierto es que una vulnerabilidad en el protocolo RPC, fue la que permitió la propagación del gusano W32/Lovsan.A, que en menos de 12 horas se convirtió prácticamente, según opinan algunos analistas, en el gusano más difundido de la historia. Hay reportes de una increíble cantidad de usuarios infectados. Podría decirse que jamás ha existido algo similar, sin temor a caer en la exageración. Recordemos que los parches respectivos que teóricamente podrían haber evitado esta infección, fueron publicados en el boletín MS03-026 en julio de 2003. ¿Hay posibilidades que dicho parche no sirva para protegernos de un gusano como el Lovsan?. Aunque existieron comentarios que parecían indicar que la difusión del gusano ocurrió a pesar del parche (cosa que no hemos comprobado), existe una pequeña posibilidad que la segunda falla detectada, tenga que ver algo con los últimos reportes. RPC (Remote Procedure Call o Llamada de Procedimiento Remoto), es un protocolo utilizado por Windows para permitir que un programa que se ejecuta en un equipo, pueda acceder a los servicios de otro equipo conectado en red. Como vimos, al momento actual parecen existir por lo menos dos vulnerabilidades relacionadas en concreto, con el intercambio de mensajes entre procesos que se realiza sobre protocolos TCP/IP al utilizarse RPC. Una de estas fallas es la que permite la ejecución arbitraria de código, y es la "conocida". La otra, podría provocar el bloqueo del sistema (ataque de denegación de servicio), y el boletín que la anuncia no está disponible más que en un escondido rincón de Microsoft España (pero accesible desde un navegador), y no es oficial al momento de publicar esto. Ambas fallas ocurren porque no se controla el formato de los mensajes que mencionamos antes, si estos no cumplen el estándar predefinido. En concreto, afectan la interface DCOM con RPC, que controla las solicitudes de activación de objetos de DCOM que las máquinas clientes envían al servidor. DCOM (Distributed Component Object Model o Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto de interfaces que permiten a los clientes y servidores comunicarse entre sí. Los objetos de programa de un cliente pueden solicitar los servicios de objetos de programas servidores, en otras computadoras dentro de una red. Solo es necesario que todos se estén ejecutando en Windows 9x (95, 98 y Me) o NT (NT, 2000 y XP). Usando una interface DCOM, un programa puede iniciar una Llamada de Procedimiento Remoto (Remote Procedure Call o RPC) a un objeto de otro programa especializado, que proporciona el procesamiento necesario y devuelve el resultado. DCOM emplea a su vez protocolos TCP/IP y HTTP, y está incluido en las versiones posteriores a Windows 98 y NT. DCOM escucha en el puerto 135 de TCP/UDP y en los puertos 139, 445 y 593 de TCP. Un atacante puede aprovecharse de una de las fallas para ejecutar código con privilegios de zona local en el sistema afectado. Esto significa la posibilidad de instalar programas, ver, cambiar o suprimir datos, o crear nuevas cuentas con privilegios completos. Por esta razón, cualquier acceso a una computadora que se aproveche de esta vulnerabilidad (como ocurre con el gusano Lovsan entre otros), significa un grave riesgo para la seguridad. Al respecto, y contrariamente a los que muchos usuarios prefieren suponer, nuestra recomendación luego de una intrusión de este tipo, es proceder a una instalación desde cero y totalmente limpia, del sistema operativo. Es la única forma de asegurarnos de no ser afectados por cualquier modificación o instalación de programas o códigos no esperados en nuestro sistema. Para aprovecharse de estas fallas, se deben enviar mensajes del tipo ya mencionado, modificados en forma maliciosa, a computadoras vulnerables, utilizando un puerto TCP/UDP afectado. Veamos algo interesante. Según el mencionado boletín técnico de Microsoft, para aprovechar estas vulnerabilidades, el atacante debería contar con los conocimientos necesarios para enviar una solicitud especialmente diseñada a uno de los puertos afectados en la máquina remota. El boletín especifica que en los entornos conectados a una Intranet, este puerto suele estar accesible, pero en las máquinas conectadas a Internet, los puertos están normalmente bloqueados por un servidor de seguridad (cortafuegos). Sin embargo, el hecho de la tremenda propagación del Lovsan, demuestra que son muchos (demasiados), los usuarios que hacen caso omiso de esta precaución. En el caso concreto de Windows XP, el cortafuegos incorporado se activa por defecto cuando se instala una conexión a Internet usando el asistente de conexión. Sin embargo, muchos lo deshabilitan cuando no pueden conectarse a determinados servicios, o por no poder compartir archivos con aplicaciones como las conocidas P2P (Peer-To-Peer). El simple hecho de tener deshabilitado este cortafuegos (y no usar ningún otro como sustituto), es sin dudas la principal causa de la propagación del Lovsan (aún más importante que el no haber actualizado sus sistemas con el parche publicado oportunamente). Por otra parte, además del cortafuegos de Windows XP (y Server 2003), existen otras opciones, incluso gratuitas, como ZoneAlarm, Outpost, etc. Si no existe este bloqueo de puertos (que es lo que hace el cortafuegos), cualquier atacante puede aprovecharse de los equipos vulnerables, sin ningún privilegio adicional, como ha quedado totalmente demostrado. La recomendación de Microsoft es bloquear todos los puertos TCP/IP que no se utilicen. Por razones lógicas, la mayoría de las computadoras que se conecten en algún momento a Internet, deberían tener bloqueados los puertos 135, 139, 445, 593 o cualquier otro relacionado con el protocolo RPC (en el caso del Lovsan se agregan otros puertos específicos, pero es algo totalmente circunstancial relacionado con este gusano en particular). Sencillamente, Microsoft afirma que RPC sobre TCP, no es algo que esté pensado para ser utilizado en un entorno potencialmente hostil como Internet. Para ello existen protocolos más seguros, como RPC sobre HTTP. Otra cosa interesante sobre todo lo que se ha dicho sobre las vulnerabilidades RPC/DCOM, es que las mismas han sido probadas sobre Windows Me, Windows NT 4.0 Server, Windows NT 4.0 Terminal Server Edition, Windows 2000, Windows XP y Windows Server 2003. Lo que poco se ha comentado, es que si bien Windows Me no es vulnerable, entornos como Windows 98 y 95 simplemente ya no reciben soporte técnico (Windows 98 desde el 30 de junio de 2003), y por lo tanto no se hicieron ni se harán pruebas oficiales para comprobar si están o no afectados, aunque por otra parte, los patrones de infección del Lovsan parecen indicar que estos productos son inmunes. La recomendación por lo pronto, es actualizar lo antes posible su sistema con los parches mencionados más abajo, y fundamentalmente, cuidar la correcta instalación de un cortafuegos. Respecto a las actualizaciones, la información disponible al momento actual, hace recomendable que se instalen (son archivos de poco más de un mega), aún cuando estén a punto de publicarse nuevos parches. Por otra parte, a partir del 16 de agosto, el sitio de actualizaciones de Microsoft podría estar inaccesible, si las previsiones respecto a las acciones destructivas del Lovsan se cumplen como está indicado en su código. NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. * Activar ICF en Windows XP (Internet Conexión Firewall) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Instalar ZoneAlarm (todos los sistemas) Para instalar y configurar ZoneAlarm, siga los pasos del siguiente artículo: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Parches disponibles para esta vulnerabilidad (MS03-026): Windows NT 4.0 Server (español) http://microsoft.com/downloads/details.aspx?displaylang=es&Fa milyID=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F Windows NT 4.0 Terminal Server Edition (español) http://microsoft.com/downloads/details.aspx?displaylang=es&Fa milyID=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA Windows 2000 (español) http://microsoft.com/downloads/details.aspx?displaylang=es&Fa milyID=C8B8A846-F541-4C15-8C9F-220354449117 Windows XP 32 bit Edition (español) http://microsoft.com/downloads/details.aspx?displaylang=es&Fa milyID=2354406C-C5B6-44AC-9532-3DE40F69C074 Windows XP 64 bit Edition (solo en inglés) http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF -4A85-488F-80E3-C347ADCC4DF1&displaylang=en Windows Server 2003 32 bit Edition (español) http://microsoft.com/downloads/details.aspx?displaylang=es&Fa milyID=F8E0FF3A-9F4C-4061-9009-3A212458E92E Windows Server 2003 64 bit Edition (solo en inglés) http://microsoft.com/downloads/details.aspx?FamilyId=2B566973 -C3F0-4EC1-995F-017E35692BC7&displaylang=en * Más información: Tres nuevos parches: MS03-026, MS03-027 y MS03-028 http://www.vsantivirus.com/vulms03-026-027-028.htm Lovsan, Blaster o MSBlast. Una pesadilla anunciada http://www.vsantivirus.com/ev12-08-03.htm W32/Lovsan.A (MSBlast). Utiliza la falla en RPC http://www.vsantivirus.com/lovsan-a.htm Ayudando a crear un gusano http://www.vsantivirus.com/26-07-03.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Bardiel.A. Destructivo gusano en español que usa P2P _____________________________________________________________ http://www.vsantivirus.com/bardiel-a.htm Nombre: W32/Bardiel.A Tipo: Gusano de Internet (P2P) Alias: Bardiel, Win32/Bardiel@mm, Worm/ElBardie, Win32/Bardiel.A, I-worm.Bardie Fecha: 13/ago/03 Plataforma: Windows 32-bit Tamaño: 108 Kb Reportado por: Per Antivirus Reportado por Per Antivirus, este gusano de origen peruano, escrito en Microsoft Visual Basic 6 y comprimido con la herramienta UPX, comenzó a propagarse el 13 de agosto de 2003, a través de redes de intercambio de archivos P2P, ICQ, y también del MSN Messenger. Además, puede propagarse a través de recursos compartidos en redes. Cuando se ejecuta, deshabilita al editor del registro (REGEDIT.EXE) y luego lo borra, junto a otras herramientas de Windows (MSCONFIG.EXE, SFC.EXE, etc.), dificultando su eliminación manual. También infecta documentos de Word y Excel, scripts de Visual Basic, etc. Para su funcionamiento, requiere la presencia de la librería en tiempo de ejecución de Visual Basic, MSVBVM60.DLL. Cuando se ejecuta, muestra una ventana con el siguiente texto: Error El archivo está total o parcialmente dañado, imposible abrir el archivo [ Aceptar ] Luego se copia a si mismo en la carpeta System de Windows con nombres creados al azar, compuestos por 7 caracteres, y las siguientes extensiones: .exe .com .scr .pif NOTA: La ubicación de la carpeta System puede variar de acuerdo al sistema operativo instalado. "C:\Windows\System" (por defecto) en Windows 9x/ME, "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003. También modifica el registro para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run MicroLoad = c:\windows\system\[nombre del gusano].scr También crea la siguiente entrada como marca de infección: HKLM\Software\GEDZAC LABS También modifica claves que comprometen la seguridad y el acceso al sistema: Para deshabilitar el uso de cualquiera de las Herramientas del Registro de Windows modifica: HKCU\SOFTWARE\Microsoft\Windows \CurrentVersion\Policies\System DisableRegistryTools = dword:00000001 Para que se ejecuten archivos de extensión .VBS y .JS sin mensaje de confirmación: HKCU\Software\Microsoft\Windows Scripting Host\Settings Timeout = dword:00000000 Para que se ejecuten documentos de Word y Excel con macros, sin advertencia alguna: HKCU\Software\Microsoft\Office\10.0\Excel\Security Level = dword:00000001 AccessVBOM = dword:00000001 HKCU\Software\Microsoft\Office\9.0\Excel\Security Level = dword:00000001 HKCU\Software\Microsoft\Office\10.0\Word\Security Level = dword:00000001 AccessVBOM = dword:00000001 HKCU\Software\Microsoft\Office\9.0\Word\Security Level = dword:00000001 Modifica además los siguientes archivos: En C:\AUTOEXEC.BAT agrega la siguiente línea: @windows\system\[gusano].com En C:\Windows\WIN.INI crea la siguiente entrada: [windows] run = c:\windows\system\[gusano].scr En C:\Windows\SYSTEM.INI crea la siguiente entrada: [boot] shell=Explorer.exe c:\windows\system\[gusano].pif El gusano intentará eliminar cualquiera de los siguientes procesos que se esté ejecutando en memoria (corresponden a conocidos antivirus y cortafuegos, además de herramientas de Windows, como REGEDIT, MSCONFIG, etc.): _avp32.exe _avpcc.exe _avpm.exe advxdwin.exe agentw.exe alertsvc.exe alogserv.exe amon9x.exe anti-trojan ants.exe apvxdwin.exe atcon.exe atupdater.exe atwatch.exe autodown.exe avconsol.exe avconsol.exe avgcc32.exe avgctrl.exe avgserv.exe avgserv9.exe avgw.exe avkpop.exe avkserv.exe avkservice.exe avkwctl9 avp32.exe avpcc.exe avpm.exe avpm.exe avsched32.exe avsynmgr.exe avwinnt.exe avxmonitor9x avxmonitornt avxquar.exe avxquar.exe avxw.exe blackd.exe blackice.exe ccapp.exe ccapp.exe ccevtmgr.exe ccpxysvc.exe etrustcipe.exe evpn.exe expert.exe f-agnt95.exe fameh32.exe f-prot.exe f-prot95.exe fp-win.exe frw erv.exe icload95.exe icloadnt.exe icmon.exe icsupp95.exe icsuppnt.exe iface.exe iomon98.exe msconfig.exe nav auto-pro navap.exe navapsvc.exe navapw32.exe navengnav.exe navlu32.exe navw32.exe navwnt.exe ndd32.exe npssvc.exe nsched32.exe nspclean.exe pav.exe pcciomon.exe pccntmon.exe pccwin97.exe pccwin98.exe pcscan.exe persfw.exe perswf.exe pop3trap.exe rav7.exe regedit.com regedit.exe regedt32.exe sfc.exe sysedit.exe taskmgr.exe vpc32.exe vptray.exe vsched.exe vsecomr.exe vshwin32.exe vsmain.exe vsmon.exe vsstat.exe zonealarm.exe Para propagarse a través de las redes de intercambio de archivos entre usuarios como Edonkey2000, Gnucleus, Grokster, Kazaa, Kazaa Lite, Limewire y Morpheus, además del ICQ, se copia con los nombres que se dan más abajo, en las siguientes carpetas compartidas de dichos programas: \edonkey2000\incoming \gnucleus\downloads \Grokster\My Grokster \icq\shared files \kazaa lite\my shared folders\v \KaZaA\My Shared Folder \limewire\shared \morpheus\my shared folder Nombres de archivos: ACDSee 5.5.exe Age of Empires 2 crack.exe Ana Kournikova Sex Video.exe Animated Screen 7.0b.exe aol cracker.exe AOL Instant Messenger.exe aol password cracker.exe AquaNox2 Crack.exe Audiograbber 2.05.exe AVP Antivirus Pro Key Crack.exe BabeFest 2003 ScreenSaver 1.5.exe Babylon 3.50b reg_crack.exe Battlefield1942_bloodpatch.exe Battlefield1942_keygen.exe Britney Spears Sex Video.exe Buffy Vampire Slayer Movie.exe Business Card Designer Plus 7.9.exe cable modem ultility pack.exe Clone CD 5.0.0.3 (crack).exe Clone CD 5.0.0.3.exe Coffee Cup Free exe 7.0b.exe Cool Edit Pro v2.55.exe counter-strike.exe Crack Passwords Mail.exe Credit Card Numbers generator(incl Visa,MasterCard,...).exe Cristina Aguilera Sex Video.exe delphi.exe Diablo 2 Crack.exe DirectDVD 5.0.exe DirectX Buster (all versions).exe DirectX InfoTool.exe divx pro.exe DivX Video Bundle 6.5.exe divx_pro.exe Download Accelerator Plus 6.1.exe DVD Copy Plus v5.0.exe DVD Region-Free 2.3.exe Edonkey2000-Speed me up scotty.exe FIFA2003 crack.exe Final Fantasy VII XP Patch 1.5.exe Flash MX crack (trial).exe FlashGet 1.5.exe FreeRAM XP Pro 1.9.exe Game Cube Real Emulator.exe GetRight 5.0a.exe Global DiVX Player 3.0.exe Gothic2 licence.exe GTA 3 Crack.exe GTA 3 Serial.exe Guitar Chords Library 5.5.exe Hentai Anime Girls Movie.exe Hitman_2_no_cd_crack.exe Hot Babes XXX Screen Saver.exe HotGirls.exe Hotmail Hacker 2003-Xss Exploit.exe hotmail_hack.exe ICQ Pro 2003a.exe ICQ Pro 2003b (new beta).exe iMesh 3.6.exe iMesh 3.7b (beta).exe IrfanView 4.5.exe Jenifer Lopez Sex Video.exe KaZaA Hack 2.5.0.exe Kazaa SDK + Xbit speedUp for 2.xx.exe KaZaA Speedup 3.6.exe Links 2003 Golf game (crack).exe Living Waterfalls 1.3.exe macromedia dreamweaver key generator.exe Mafia_crack.exe Matrix Movie.exe Matrix Screensaver 1.5.exe Mcafee Antivirus Scan Crack.exe MediaPlayer Update.exe Microsoft KeyGenerator-Allmost all microsoft stuff.exe mIRC 6.40.exe mp3Trim PRO 2.5.exe MSN Messenger 5.2.exe NBA2003_crack.exe Need 4 Speed crack.exe Nero Burning ROM crack.exe Netbios Nuker 2003.exe Netfast 1.8.exe Network Cable e ADSL Speed 2.0.5.exe NHL 2003 crack.exe Nimo CodecPack (new) 8.0.exe Norton Anvirus Key Crack.exe PalTalk 5.01b.exe pamela_anderson.exe Panda Antivirus Titanium Crack.exe play station emulator.exe Popup Defender 6.5.exe Pop-Up Stopper 3.5.exe PS2 PlayStation Simulator.exe Quick Time Key Crack.exe QuickTime_Pro_Crack.exe Sakura Card Captor Movie.exe Screen saver christina aguilera naked.exe Screen saver christina aguilera.exe Security-2003-Update.exe Serials 2003 v.8.0 Full.exe serials2000.exe Sex Live Simulator.exe Sex Passwords.exe SmartFTP 2.0.0.exe SmartRipper v2.7.exe Space Invaders 1978.exe Spiderman Movie.exe Splinter_Cell_Crack.exe Starcraft serial.exe Start Wars Trilogy Movies.exe Steinberg_WaveLab_5_crack.exe Stripping MP3 dancer+crack.exe subseven.exe Thalia Sex Video.exe Trillian 0.85 (free).exe TweakAll 3.8.exe Unreal2_bloodpatch.exe Unreal2_crack.exe UT2003_bloodpatch.exe UT2003_keygen.exe UT2003_no cd (crack).exe UT2003_patch.exe virtua girl - adriana.exe virtua girl - bailey short skirt.exe Virtua Girl (Full).exe VirtualSex.exe Visual Basic 6.0 Msdn Plugin.exe Visual basic 6.exe warcraft 3 crack.exe warcraft 3 serials.exe WarCraft_3_crack.exe Winamp 3.8.exe winamp plugin pack.exe WindowBlinds 4.0.exe Windows XP complete + serial.exe Windows Xp Exploit.exe WinOnCD 4 PE_crack.exe WinRar 3.xx Password Cracker.exe WinZip 9.0b.exe winzip full version key generator.exe Winzip KeyGenerator Crack.exe WinZipped Visual C++ Tutorial.exe wnudo>?)nin wnudo45)nin XNuker 2003 2.93b.exe Yahoo Messenger 6.0.exe Zelda Classic 2.00.exe Cuando se ejecuta después del reinicio del sistema infectado, el gusano muestra una ventana de diálogo con el siguiente texto: BardieWorm GEDZAC VIVE [ Aceptar ] * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Si se ejecutó el gusano, los cambios realizados en el registro de Windows, y los archivos borrados, pueden hacer imposible una recuperación del sistema. La única solución efectiva será reinstalar todos los programas y aplicaciones, incluido Windows. Se sugiere reinstalar Windows sobre el actual, para recuperar los archivos eliminados a los efectos de cumplir los siguientes pasos. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si desea intentar la recuperación de la valiosa información guardada en su computadora. * Editar el registro Nota: solo podrá acceder al registro después de reinstalar Windows. Los siguientes pasos solo se dan como referencia. 1. Descargue el siguiente archivo (Restore.reg): http://www.videosoft.net.uy/restore.reg 2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro. 3. Ejecute el editor de registro. Desde una ventana MS-DOS escriba REGEDIT y pulse ENTER 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: MicroLoad 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \GEDZAC LABS 7. Pinche en la carpeta "GEDZAC LABS" y bórrela. 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Método para revisar Autoexec.bat Esto sólo es necesario en computadoras bajo Windows 95/98 y Me. * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Usuarios de Windows 95, 98 y Me: 1. Pulse el botón Inicio y luego Ejecutar 2. Escriba lo siguiente y pulse OK. edit c:\autoexec.bat Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat 3. Borre la línea que contenga lo siguiente si ésta existiera: @windows\system\[gusano].com 4. Seleccione Archivo, Guardar, para grabar los cambios. * Editar el archivo WIN.INI y SYSTEM.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [Windows] run = c:\windows\system\[gusano].scr Debe quedar como: [Windows] run = 3. Grabe los cambios y salga del bloc de notas. 4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter. 5. Busque lo siguiente: [boot] shell=Explorer.exe c:\windows\system\[gusano].pif y déjelo así: [boot] shell=Explorer.exe 6. Grabe los cambios y salga del bloc de notas 7. Reinicie Windows * Restablecer configuración de advertencia de macros Restablezca las configuraciones contra virus de macros. En Office 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Office 2000 y XP, vaya a Herramientas, Seguridad, y cambie el nivel a Alto. * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1132 Año 7, Miércoles 13 de agosto de 2003