Mostrando mensaje 186     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1137 Año 7, Lunes 18 de agosto de 2003 Fecha: Lunes, 18 de Agosto, 2003  04:25:03 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1137 Año 7, Lunes 18 de agosto de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - ¿Infectados a pesar de tener el parche para RPC/DCOM? 2 - W32/Kuskus.A. Se propaga por redes P2P 3 - W32/Wukill.A. Datos adjuntos: "MShelp.EXE" 4 - Troj/VBS.Flipe.A. Troyano que intenta formatear 5 - W32/Parite. Infector de archivos EXE y SCR y gusano _____________________________________________________________ 1 - ¿Infectados a pesar de tener el parche para RPC/DCOM? _____________________________________________________________ http://www.vsantivirus.com/ar18-08-03.htm ¿Infectados a pesar de tener el parche para RPC/DCOM? Por Angela Ruiz angela@videosoft.net.uy En ocasiones, la instalación del parche para la vulnerabilidad RPC/DCOM (boletín de Microsoft MS03-026), parece no impedir la infección con el gusano Lovsan. Sin embargo, aunque hemos recibido varios informes de diferentes usuarios al respecto, nunca pudimos comprobarlo en nuestras pruebas. Ahora, una reciente noticia parece confirmar la existencia de una falla en Windows Update, la herramienta en línea que permite a los usuarios actualizar su sistema operativo con nuevos parches y soluciones. Esta falla puede permitir que el gusano Lovsan, también conocido como Blaster, infecte computadoras que aparentemente ya tienen instalado el parche correspondiente para evitarlo, según un experto en seguridad. El error fue descubierto por Russ Cooper, de la compañía de seguridad TruSecure, cuando investigaba la información sobre un servidor del ejército norteamericano, que junto con otros, fueron víctimas del gusano a pesar del parche. Windows Update agrega una entrada al registro cada vez que se instala una actualización. Cuando el usuario se conecta al sitio de actualizaciones, se escanea el registro para construir una lista de los parches que no han sido instalados. Según Cooper este mecanismo falla. "Hemos encontrado que mucha gente tiene en el registro de su Windows, la clave que indica la instalación del parche, pero no el parche propiamente dicho", afirma Cooper. Explica además, que este error puede darse por varias razones, las que van desde una instalación incompleta, hasta la falta de recursos en el sistema. "Si usted se conecta al sitio de Microsoft y le sale el aviso de que ya está actualizado, aunque no sea verdad, ¿que se supone que haría cualquier persona?", explica el experto. Para solucionar el problema, Windows Update debería buscar el verdadero parche, antes que la clave mencionada en el registro, argumenta Cooper, quién además explica que esta característica está incluida en la herramienta de actualización, pero no se encuentra activada completamente. Microsoft no ha respondido oficialmente a los comentarios de Cooper. Una recomendación del experto, es ejecutar la herramienta "Microsoft Baseline Security Analyzer (MBSA)" http://www.microsoft.com/technet/security/tools/Tools/mbsahome.asp. Para Cooper, esto puede ser una alternativa a Windows Update para examinar si el parche está correctamente instalado o no. MBSA también está diseñada para buscar problemas de seguridad en el registro de Windows, y puede ser descargada gratuitamente del sitio de Microsoft. Pero lamentablemente, esta herramienta está preparada únicamente para sistemas operativos en inglés. Nuestra sugerencia, es instalar manualmente los parches, descargados desde los enlaces que se dan en las referencias al final de éste artículo, y no desde el sitio de "Windows Update". Además, recalcamos la importancia de tener activo en todo momento, un cortafuegos. Puede encontrar más información sobre esto, en los artículos que se indican a continuación. * Referencias: Preguntas frecuentes sobre el Lovsan (Blaster) http://www.vsantivirus.com/faq-lovsan.htm Lo que debería saber sobre la vulnerabilidad RPC/DCOM http://www.vsantivirus.com/vul-rpc-dcom.htm W32/Lovsan.A (Blaster). Utiliza la falla en RPC http://www.vsantivirus.com/lovsan-a.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Kuskus.A. Se propaga por redes P2P _____________________________________________________________ http://www.vsantivirus.com/kuskus.a.htm Nombre: W32/Kuskus.A Tipo: Gusano de Internet (P2P) Alias: W32.Kuskus.Worm Fecha: 14/ago/03 Plataforma: Windows 32-bit Este gusano, escrito en Visual Basic, se propaga a través de las redes de intercambio de archivos entre usuarios (P2P). Cuando se ejecuta, el gusano se copia en las siguientes ubicaciones, y con los siguientes nombres (los nombres y caminos son siempre los mismos sin importar el idioma ni la versión del sistema operativo): c:\attach.exe c:\attachment.exe c:\coconut.exe c:\data.frm c:\data.mod c:\infect_your_computer_now(hehe).exe c:\its_a_bomb.exe c:\i-worm_info.txt c:\lssi info.txt c:\mirc\pic.jpg.bat c:\my shared folder\american gaurd antivirus 2003.exe c:\my shared folder\avril vs. madonna video.exe c:\my shared folder\coke vs. pepsicola.mov c:\my shared folder\digital girl.exe c:\my shared folder\file manager program.exe c:\my shared folder\girl rubbing pussy by pool.jpeg c:\my shared folder\icecreamcola.mpeg c:\my shared folder\modem booster.exe c:\my shared folder\msn 8 full.exe c:\my shared folder\norton anti-virus 2003 cracked!.exe c:\my shared folder\norton antivirus scanner 2003 full.exe c:\my shared folder\opera.exe c:\my shared folder\virtrual reality sex.exe c:\my shared folder\virtual sex.exe c:\my shared folder\windows xp home edition key gen.exe c:\my shared folder\windows xp home edition sp1 serial.exe c:\no a la lssice.txt c:\pirch98\pic.jpg.bat c:\progra~1\mirc\pic.jpg.bat c:\progra~1\pirch98\pic.jpg.bat c:\program files\messenger\download\msninst.exe c:\program files\messenger\download\sins.exe c:\program files\messenger\downloads\msninst.exe c:\program files\messenger\downloads\sins.exe c:\program files\messenger\msninst.exe c:\program files\messenger\sins.exe c:\program files\microsoft office\office\startup\mumps.dot c:\rpc.exe c:\rpctest.exe c:\symtem_(writen_by_industry).exe c:\tftpd.exe c:\windows\infect_your_computer_now(hehe).exe c:\windows\its_a_bomb.exe c:\windows\mumps.drv c:\windows\start menu\programs\startup\error.exe c:\windows\start menu\programs\startup\microsoft corporation.exe c:\windows\symtem_(writen_by_industry).exe c:\windows\system\iexplorer.exe c:\windows\system\kernel32.dli c:\windows\system\microsoft.ini c:\windows\system\winkernal.exe c:\windows\system32\kernel32.dli c:\windows\system32\winkernal.exe c:\windows\temp\install\win32\system\backup\donkeybacteria.exe c:\windows\temp\taskmgr32.exe c:\windows\temp\taskmgr320.exe c:\windows\temp\taskmgr321.exe c:\windows\temp\taskmgr322.exe c:\windows\temp\taskmgr323.exe c:\windows\temp\taskmgr324.exe c:\windows\temp\taskmgr325.exe c:\windows\temp\taskmgr326.exe c:\windows\temp\taskmgr327.exe c:\windows\temp\taskmgr328.exe c:\windows\temp\taskmgr329.exe c:\windows_update.exe c:\winnt\infect_your_computer_now(hehe).exe c:\winnt\its_a_bomb.exe c:\winnt\symtem_(writen_by_industry).exe c:\winnt\system32\iiscached.dll c:\winnt\system32\isa.exe c:\winnt\system32\kernel32.dli c:\winnt\system32\rcfg.ini c:\winnt\system32\secud.bat c:\winnt\system32\winkernal.exe * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Reinicie su computadora para sacar el virus de la memoria. 2. Actualice sus antivirus con las últimas definiciones 3. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 4. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los archivos indicados antes en la descripción del gusano. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Wukill.A. Datos adjuntos: "MShelp.EXE" _____________________________________________________________ http://www.vsantivirus.com/wukill-a.htm Nombre: W32/Wukill.A Tipo: Gusano de Internet Alias: WORM_WUKILL.A, Win32/VBWorm2@mm Fecha: 12/ago/03 Plataforma: Windows 32-bit Tamaño: 1,208,320 bytes Este gusano, escrito en Visual Basic 6, requiere la presencia de la librería MSVBVM60.DLL para ejecutarse. De características no destructivas, se propaga masivamente a través del correo electrónico, enviándose a todos los contactos de la libreta de direcciones de Windows (Windows Address Book, WAB), en un mensaje con estas características: Para: [todas las direcciones en la libreta] Asunto: [vacío] Datos adjuntos: MShelp.EXE Texto: This is a program for Ms-Dos from Microsoft,It can help you to study Ms-dos. Don 't you want to see ? Cómo el adjunto tiene un tamaño de más de un mega, el gusano puede provocar una notoria baja de rendimiento en el equipo, además de un enlentecimiento en la conexión a Internet. Si se ejecuta, queda residente en memoria, y examina si su propio ejecutable está en la carpeta de Windows. Si no está allí, crea una copia de si mismo en esa carpeta: c:\windows\mstray.exe Luego modifica el registro para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run RavTime = c:\windows\mstray.exe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). También modifica la siguiente clave del registro, para ocultar al usuario todos los archivos con atributos de oculto (+H) y de sistema (+S): HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\Advance Hidden=0 Después ejecuta el archivo WINFILE.EXE (en Windows 95, 98, y ME). Si el sistema operativo es Windows NT, 2000 o XP, entonces despliega una ventana de error falsa, con el siguiente texto: Warning This File Has Been Damage! WINFILE.EXE es el archivo de aplicaciones del Administrador de archivos de Windows, el "viejo" administrador de archivos de Windows 3.x que aún conservan las versiones 9x y Me de Windows. Al reiniciarse la computadora, se ejecuta la copia en Windows (mstray.exe) gracias a la entrada agregada al registro. Solo de ese modo ejecuta su rutina de propagación, enviándose a todos los contactos de la libreta de direcciones de Windows, en un mensaje como el ya descripto. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\mstray.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: RavTime 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Explorer \Advanced 5. Pinche en la carpeta "Advanced" y en el panel de la derecha, bajo la columna "Nombre", cambie el valor de "Hidden" a "1" (Hexadecimal) 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/VBS.Flipe.A. Troyano que intenta formatear _____________________________________________________________ http://www.vsantivirus.com/flipe-a.htm Nombre: Troj/VBS.Flipe.A Tipo: Caballo de Troya (Visual Basic Script) Alias: Trojan.VBS.Flipe.A, VBS/Flipe-tr, VBS.Trojan.Xp2, VBS/Trojan.Variant Plataforma: Windows 32-bit Caballo de Troya escrito en Visual Basic Script. Cuando se ejecuta, intenta crear los siguientes archivos: c:\windows\xp2.vbs c:\system.sys c:\windows\win.com c:\windows\explorer.exe c:\autoexec.bat Todos ellos, excepto el último, contendrán solamente el siguiente texto: echo Microsoft Windows XP 2 has released Note que de ejecutarse el troyano, algunos archivos legítimos de Windows, podrían ser sobrescritos, ocasionando un mal funcionamiento del sistema, o la imposibilidad de reiniciarse. El archivo C:\AUTOEXEC.BAT, contendrá las siguientes líneas: @echo off cls Please wait, The Windows XP2 Setup is gathering all necessary information to install Microsoft Windows XP2 on your computer. echo Welcome to the installation wizar of Microsoft Windows XP2, XP2 is the upgrade of the first XP release. The Setup is formating your computer in order to install XP2, PLEASE BE PATIENT, AND DON'T ANGRY. Thank you for prefer Microsoft products, please visit the Windows Update urgently, is probably that XP2 have vulnerabilities. @echo off Now, XP2 Setup is installing the RAV Desktop AV on your system, don't angry RAV is a AntiVirus that have much falses positives, Windows and RAV are the perfect combination, both are bad. También agrega las instrucciones para formatear las unidades de disco duro C:, y cualquier disquete disponible y con acceso de escritura en A:. Cuando la computadora se reinicia, se debería producir el formateo indicado antes. También podría mostrarse el siguiente texto: Comando o nombre de archivo no válido Su código contiene errores que impidieron su ejecución en las pruebas realizadas en el laboratorio. En dicho código, puede encontrarse el siguiente comentario: VBS.Trojan.Xp2 By Sir.Carew In memory of others trojans such as: VBS.Madonna a, b. and VBS.AVFake Felipe Smith, ILOVEYOU!!!! * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Si se ejecutó el gusano, los archivos borrados, harán imposible una recuperación del sistema. La única solución efectiva será reinstalar Windows y todos los programas y aplicaciones necesarias. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si desea intentar la recuperación de la valiosa información guardada en su computadora. * Método para revisar Autoexec.bat Esto sólo es necesario en computadoras bajo Windows 95/98 y Me. * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Usuarios de Windows 95, 98 y Me: 1. Pulse el botón Inicio y luego Ejecutar 2. Escriba lo siguiente y pulse OK. edit c:\autoexec.bat Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat 3. Si el mismo contiene el siguiente texto, salga del editor y luego borre C:\AUTOEXEC.BAT desde el Explorador de Windows: @echo off cls Please wait, The Windows XP2 Setup is gathering all necessary information to install Microsoft Windows XP2 on your computer. [etc...] * Información adicional * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Parite. Infector de archivos EXE y SCR y gusano _____________________________________________________________ http://www.vsantivirus.com/parite.htm Nombre: W32/Parite Tipo: Virus y gusano Alias: PE_PARITE.A, W32.Pinfi, W32/Parite-A, W32/Parite-B, W32/Parite.B, W32/Parite.B, W32/Pate.b.tmp, Win32.Parite.b, Win32.Pinfi.A Versiones: W32/Parite.A, W32/Parite.B Fecha: oct/01, nov/01 Tamaño: 176,128 bytes El virus, capaz de propagarse como gusano a unidades de red, está comprimido con la utilidad UPX. No es un virus nuevo, y los antivirus lo detectan desde octubre de 2001. Incluimos su descripción porque hemos recibido recientemente reportes de archivos infectados con él. Es un infector de archivos del tipo parásito (Parasitic virus). Se les denomina parásitos a los virus que requieren de un portador (o host) para propagarse. Se adjunta a otro programa y se activa cuando ese programa es ejecutado. También posee características de gusano, ya que puede propagarse a través de redes. Su código está encriptado. Cuando se ejecuta, se agrega al final de todos los archivos con formato PE (Portable Executable), con extensión .EXE y .SCR en el directorio de Windows y todos los subdirectorios del sistema local, así como a todos los archivos accesibles en unidades de red compartidas. El virus crea una sección extra en el archivo PE, con un nombre de tres letras al azar más el carácter "•". Crea la siguiente clave en el registro: HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\PINF En ocasiones el virus corrompe el archivo infectado, siendo imposible su recuperación. Algunos antivirus identifican estos archivos con el nombre de W32/Pate.a.dam o W32/Pate.b.dam. La parte principal de código del virus se copiará en el directorio TEMP de Windows con un nombre al azar y la extensión .TMP. * Reparación manual * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus 1. Actualice sus antivirus con las últimas definiciones. 2. Ejecútelos en modo escaneo, revisando todos sus discos en todas las computadoras de una red, en forma individual. 3. Repare los archivos detectados como infectados Nota: Algunos archivos dañados por el virus deberán ser borrados, ya que son irreparables. Los mismos deberán ser recuperados luego desde un respaldo limpio, o reinstalando el software necesario, incluido Windows. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Explorer \PINF 3. Pinche en la carpeta "PINF" y bórrela. 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1137 Año 7, Lunes 18 de agosto de 2003