|
Mostrando mensaje 190
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1141 Año 7, Viernes 22 de agosto de 2003 | | Fecha: | Viernes, 22 de Agosto, 2003 06:14:14 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1141 Año 7, Viernes 22 de agosto de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Cuando un virus puso en peligro a la humanidad
2 - MS03-033 Ejecución de código por falla en MDAC (823718)
3 - Microsoft bloqueará la red de Messenger
4 - W32/Gaobot.AA. Peligroso gusano y caballo de Troya
5 - W32/Dumaru.B. Mensaje falso de Microsoft (patch.exe)
6 - W32/Pandem.B. Asunto: "Microsoft Security Bulletin"
_____________________________________________________________
1 - Cuando un virus puso en peligro a la humanidad
_____________________________________________________________
http://www.vsantivirus.com/lz-nuclear.htm
Cuando un virus puso en peligro a la humanidad
Por Lissette Zapata
liszapata@videosoft.net.uy
Se ha dado a conocer en un artículo de SecurityFocus, hasta
que punto estuvo la humanidad al borde de un desastre
nuclear, por culpa de un gusano como el SQL/Slammer.
Como recordarán, seguramente algunos con poco agrado, éste
gusano infectó en cuestión de minutos, a millones de
computadoras en enero de 2003, valiéndose de una antigua
vulnerabilidad de los servidores SQL, para la cual ya existía
un parche. Claro que muchos no lo instalaron por diversas
razones (similar a lo que pasó con el Blaster).
Ahora, un poco más de 6 meses después, se dio a conocer que
el Slammer llegó a infectar a la red de monitorización de la
planta nuclear Davis-Besse en el estado de Ohio, dejando sin
funcionamiento el sistema que supervisa el comportamiento de
dicha planta durante más de 5 horas.
Esto lo explica el informe que FirstEnergy Corp., la compañía
que opera la planta, y que provee de energía eléctrica a 4.3
millones de usuarios en los estados de Ohio y Nueva Jersey,
presentó sobre este suceso a la Comisión Reguladora Nuclear
de los Estados Unidos, (NRC), y en cuyo texto se pretende
alertar a la industria de las consecuencias que pueden
acarrear los gusanos de Internet y los virus de computadoras
en los sistemas de red.
El gusano penetró a la planta a través de la red de una
empresa subcontratada para realizar ciertos servicios, con la
cual estaban interconectados. Tanto los responsables de la
planta como el contratista, cometieron un grave descuido, al
no comprobar jamás que la interconectividad cumpliera con los
parámetros básicos de seguridad. Ello motivó que al actuar el
gusano, resultara imposible controlar o supervisar los
indicadores de seguridad más cruciales, aquellos relacionados
con los sistemas refrigerantes, los sensores de control de
temperatura, y los de radiación. Según un experto, dichos
factores requieren constantemente un chequeo cuidadoso, aún
con una planta inactiva.
Actualmente FirstEnergy ha declinado opinar sobre el
incidente debido a que la compañía está enfocada en
investigar el gran apagón que la semana pasada afectó a
varias ciudades del nordeste de Estados Unidos y Canadá,
causado por razones ya conocidas. Sobre esto último, se sabe
que el sistema de alarma, que era parte del Sistema de
Dirección de Energía de FirstEnergy, no advirtió a los
operadores del centro de mando que la línea había fallado.
Mientras la incertidumbre continúa, una de las preguntas que
más se suelen escuchar, es si el gusano Blaster tuvo algo que
ver para que ese sistema de alarma fallara, así como el
Slammer desactivó las seguridades en la planta nuclear de
Davis-Besse en el pasado mes de enero. El portavoz de
FirstEnergy, Todd Schneider solo dijo que "[...] estamos
investigando todo ello ahora mismo".
¿Es necesario acaso asumir más riesgos o suposiciones, para
despertar las consciencias del riesgo que implica todo lo que
acabamos de relatar?. Esto puede ser el mejor ejemplo de lo
que ya mencionamos en otro artículo. Para muchas empresas, el
informático es solo un mal necesario, al que en ocasiones no
se le permite implementar como prioridad, la actualización de
la seguridad en los sistemas a su cargo. Claro que también
existen informáticos que delegan a otros ese rol, porque
consideran que conocer de seguridad es solo para
profesionales dedicados a ese rubro.
Puede ser un buen punto de debate, en el cual me incluyo,
puesto que el tiempo dedicado a mantenerse actualizados con
boletines como los de VSAntivirus, y tener la voluntad de
saber cuales son las vulnerabilidades que adolece nuestra red
para repararlas, es algo muchas veces asumido solo como
desafío personal. A veces debe existir un interés propio para
autoexigirse, y para hacerlo en forma constante, todos los
días.
Recordemos que el tiempo invertido hoy en la seguridad, será
el que nos devuelva tranquilidad mañana.
* Relacionados
Slammer worm crashed Ohio nuke plant network
http://www.securityfocus.com/news/6767
SQL Slammer Worm Lessons Learned for
Consideration by the Electricity Sector
http://www.esisac.com/publicdocs/SQL_Slammer_2003.pdf
* Más información
La información y la seguridad
http://www.vsantivirus.com/fdc-info-seguridad.htm
Seguridad Informática: Peligros Ocultos
http://www.vsantivirus.com/zma-peligros.htm
Blaster, o como sacar provecho de las cosas malas
http://www.vsantivirus.com/lz-lecciones.htm
Después de todo, es un simple gusano...
http://www.vsantivirus.com/apagon14-08-03.htm
La nueva amenaza: los gusanos de rápida propagación
http://www.vsantivirus.com/05-02-03.htm
W32/SQLSlammer. El culpable del mayor ataque a Internet
http://www.vsantivirus.com/sqlslammer.htm
Las preguntas que usted se hace sobre el W32/SQLSlammer
http://www.vsantivirus.com/sqlslammer-faq.htm
Estados Unidos Bajo Ataque D.D.O.S Masivo
http://www.vsantivirus.com/ataque-puerto1434.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - MS03-033 Ejecución de código por falla en MDAC (823718)
_____________________________________________________________
http://www.vsantivirus.com/vulms03-033.htm
MS03-033 Ejecución de código por falla en MDAC (823718)
Por Lissette Zapata
liszapata@videosoft.net.uy
Nivel de Gravedad: Crítica
Programas Afectados:
Microsoft Data Access Components 2.5
Microsoft Data Access Components 2.6
Microsoft Data Access Components 2.7
Programas No Afectados:
Microsoft Data Access Components 2.8
Microsoft Data Access Components (MDAC) es una colección de
componentes utilizados para proveer conectividad con una base
de datos en plataformas Windows.
Por defecto, MDAC se incluye como un componente más en
Microsoft Windows XP, Windows 2000, Windows Millennium
Edition, y Windows Server 2003. También puede ser descargada
e instalada como una utilidad independiente.
Está incluido también en Microsoft Windows NT 4.0 Option Pack
y en Microsoft SQL Server 2000.
Windows Server 2003 no es vulnerable a esta falla.
Adicionalmente, algunos componentes de MDAC pueden estar
presentes como parte del Internet Explorer, aun cuando el
MDAC no se instale.
MDAC provee funcionalidad a ciertas operaciones como la
conexión a bases de datos remotas o devolución de datos a una
PC cliente.
Cuando una PC en una red intenta ver una lista de
computadoras que se están ejecutando con el Servidor SQL en
la misma red, envía un paquete conocido como broadcast,
realizando una petición a todos los dispositivos de la red.
Debido a la falla de un componente, un usuario
malintencionado podría responder a esta demanda con un
paquete especialmente construido para provocar un
desbordamiento de búfer en el MDAC.
Un atacante podría usar esta vulnerabilidad para obtener los
privilegios del sistema que envió la petición a la red. Con
ello sus acciones dependerían de los permisos que tuviera la
aplicación que usa el MDAC.
Esto podría incluir crear, modificar, o borrar datos en el
sistema, o reconfigurar el sistema mismo. Incluso podría
formatear el disco duro o ejecutar cualquier programa
seleccionado por el atacante.
El parche puede descargarse del siguientes enlace (debe ir en
una sola línea):
Componente MDAC para todas las versiones vulnerables (2.5,
2.6, 2.7):
http://www.microsoft.com/downloads/details.aspx?FamilyId=9107
ABC6-8995-4A99-B6A0-478B3A847E9C&displaylang=en
Seleccione el idioma en la opción "Change language", a la
derecha de la página. Por el momento, solo están disponibles
las versiones en inglés y alemán. Si tiene un sistema en
español, aguarde la versión en su idioma.
También:
http://windowsupdate.microsoft.com/
Este parche reemplaza al indicado en el boletín MS02-040.
* Más información:
Microsoft Security Bulletin MS03-033
http://www.microsoft.com/security/security_bulletins/ms03-033.asp
Microsoft Knowledge Base Article - 823718
http://support.microsoft.com/?kbid=823718
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Microsoft bloqueará la red de Messenger
_____________________________________________________________
http://www.vsantivirus.com/22-08-03.htm
Microsoft bloqueará la red de Messenger
Este artículo proviene de Webpanto
http://www.webpanto.com
Microsoft bloqueará la red de Messenger, para que solo su
cliente sea capaz de utilizarla y así dejar fuera a sus
posibles competidores en los servicios de mensajería
instantánea.
La propia compañía lo ha confirmado a través de su portavoz
Sean Sundwall. Según sus palabras por "razones de seguridad"
a partir del 15 de octubre los usuarios de Messenger deberán
actualizarse a una nueva versión del mismo si quieren poder
seguir usando sus servicios. Ya que las antiguas serán
incompatibles con el nuevo sistema de mensajería.
La intención última de esta maniobra es dejar fuera de juego
a los clientes de mensajería de terceras compañías que son
compatibles con Messenger. Programas como Trillian, Imici o
Ondigo, que son capaces de conectarse simultáneamente a
varias redes de mensajería instantánea como AOL, Yahoo, ICQ,
Messenger e incluso a canales de IRC.
Ni siquiera lo ocultan, el mismo Sundwall declara que
"Esperamos que aquellos que usan nuestro servicio sin
licencia o utilizan clientes no autorizados de terceros no
puedan acceder a la red después del 15 de octubre (...)
Recomendamos a esas compañías que contacten con nosotros para
llegar a un acuerdo por el que sus usuarios pueden acceder a
nuestra red". Vamos que tiene que pasar por caja.
A pesar de ello todo apunta a que Trillian ya es capaz de
utilizar los protocolos de conexión que incorpora el
Messenger 6, por lo que sus usuarios podrán continuar
disfrutando de la omnipresencia gracias a este estupendo
programa.
A los usuarios del programa de Microsoft con versiones por
debajo de la 5.0 del MSN Messenger, o de la 4.7.2000 del
Windows Messenger, se les recomienda actualizar su versión
antes del fatídico día 15 de octubre.
La dirección de esta noticia es:
http://www.webpanto.com/articulo.php?sid=2530
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Gaobot.AA. Peligroso gusano y caballo de Troya
_____________________________________________________________
http://www.vsantivirus.com/gaobot-aa.htm
Nombre: W32/Gaobot.AA
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.HLLW.Gaobot.AA, W32/Gaobot.worm.y, WORM_AGOBOT.P,
W32/Gaobot.U, Win32/Gaobot.U
Fecha: 21/ago/03
Plataforma: Windows 32-bit
Tamaño: 53,248 bytes
Puertos: TCP/135, TCP/445, TCP/22226
Este gusano, comprimido con la utilidad UPX, se propaga a
través de redes compartidas, con contraseñas débiles (por
defecto, pocos caracteres, etc.).
Se aprovecha de múltiples vulnerabilidades para propagarse:
Vulnerabilidad RPC/DCOM (MS03-026)
http://www.vsantivirus.com/vulms03-026-027-028.htm
Vulnerabilidad en el Servicio Localizador (MS03-001)
http://www.vsantivirus.com/vulms03-001-002-003.htm
La primera (MS03-026), es la misma falla de la que se
aprovecha el Lovsan (Blaster) y otros. Utiliza el puerto
TCP/135. La falla se produce por un desbordamiento de búfer
en la interface RPC (Remote Procedure Call) que permite la
ejecución arbitraria de código. El parche existe desde julio
de 2003.
La segunda (MS03-001), cuyo parche está disponible desde
enero de 2003, es explotada a través del puerto TCP/445. La
falla ocurre en el sistema localizador RPC (Remote Procedure
Call).
En ambos casos, un cortafuegos puede impedir la propagación.
Ambas fallas permiten que un intruso pueda acceder en forma
remota a la computadora infectada, a través del IRC.
Al ejecutarse se copia en los siguientes archivos:
c:\windows\system\svchosl.exe
c:\windows\system\winhl32.exe
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
Crea las siguientes entradas en el registro, para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Config Loader = svchosl.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Config Loader = svchosl.exe
Una vez en memoria, abre un puerto TCP para conectarse con un
usuario remoto, a través de un canal de IRC (Internet Relay
Chat). Utiliza su propio cliente IRC, por lo que no importa
que no se tenga instalado ninguno.
Queda a la espera de las instrucciones que le permitirán
realizar alguna de la siguientes acciones:
º Administrar la instalación del propio gusano
º Actualizar dinámicamente su propio código
º Descargar y ejecutar archivos
º Robar información confidencial
º Enviar el gusano a otros canales de IRC
º Agregar cuentas nuevas en las computadoras infectadas
Luego, abre el puerto TCP/22226 y espera a que otra
computadora se conecte para descargar el gusano.
Envía los datos necesarios al puerto TCP/135, para sacar
provecho de la vulnerabilidad RPC/DCOM como el Blaster. En
ocasiones, hace lo mismo pero con el puerto TCP/445, para
aprovecharse de la segunda de las vulnerabilidades y
indicadas (MS03-001).
Examina recursos administrativos, utilizando la siguiente
combinación de nombres de usuario y contraseñas:
Usuarios:
Administrator
admin
administrator
Administrateur
Default
mgmt
Standard
User
Administrador
Owner
Test
Guest
Gast
Inviter
a
aaa
abc
x
xyz
Dell
home
pc
test
temp
win
asdf
qwer
login
Contraseñas:
admin
Admin
password
Password
1
12
123
1234
12345
123456
1234567
12345678
123456789
654321
54321
111
000000
00000000
11111111
88888888
pass
passwd
databse
abcd
oracle
sybase
123qwe
server
computer
Internet
super
123asd
ihavenopass
godblessyou
enable
xp
2002
2003
2600
0
110
111111
121212
123123
1234qwer
123abc
007
alpha
patrick
pat
administrator
root
sex
god
foobar
a
aaa
abc
test
temp
win
pc
asdf
secret
qwer
yxcv
zxcv
home
xxx
owner
login
pwd
pass
love
mypc
mypass
pw
Si logra acceder a las computadoras remotas, se copia en
ellas y reinicia el mismo método de infección.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\svchosl.exe
c:\windows\system\winhl32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Config Loader
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Config Loader
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Vulnerabilidad en RPC (Remote Procedure Call)
Este troyano se aprovecha de un desbordamiento de búfer en la
interface RPC (Remote Procedure Call) que permite la
ejecución arbitraria de código. El Remote Procedure Call
(RPC) permite el intercambio de información entre equipos, y
está presente por defecto en el protocolo TCP bajo el puerto
135 en Windows NT 4.0, 2000 y XP.
Una falla en la parte de RPC encargada del intercambio de
mensajes sobre TCP/IP, permite a un atacante ejecutar
cualquier código con los privilegios locales (Mi PC).
Descargue y ejecute el parche correspondiente (MS03-026)
desde el siguiente enlace:
Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm
* IMPORTANTE
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
También instale los parches mencionados más adelante.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el gusano.
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(que posee algunas limitaciones). Si instala ZA, no active
ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Dumaru.B. Mensaje falso de Microsoft (patch.exe)
_____________________________________________________________
http://www.vsantivirus.com/dumaru-b.htm
Nombre: W32/Dumaru.B
Tipo: Gusano de Internet
Alias: W32.Dumaru.B@mm, Win32/Dumaru.B, W32/Dumaru.b@MM,
WORM_DUMARU.B
Fecha: 20/ago/03
Plataforma: Windows 32-bit
Tamaño: 34,304 bytes
Este gusano, escrito en Microsoft C++ y comprimido con la
herramienta UPX, se envía en forma masiva a todas las
direcciones que encuentra en determinados archivos de la
máquina infectada, en un mensaje que simula contener un
parche del Internet Explorer enviado por Microsoft:
De: "Microsoft" <security@microsoft.com>
Asunto: Use this patch immediately !
Datos adjuntos: Patch.exe
Texto:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Cuando se ejecuta, libera un troyano que permite ser
controlado vía IRC. Además un atacante remoto puede crear,
ejecutar o borrar archivos en la computadora de su víctima.
También es capaz de robar contraseñas de la máquina
infectada, para luego reenviarlas al pirata.
Esta versión infecta también archivos en particiones NTFS.
Este es el tipo de partición propietario de Windows NT
(2000/XT), del mismo modo que FAT y FAT32 lo son de Windows
9x y Me. NTFS implementa seguridad a nivel de archivo. Cada
archivo o directorio posee su lista de control de acceso
(ACL) conociéndose en todo momento quien tiene derechos sobre
él, lo que permite especificar claramente los permisos para
el uso de cualquier archivo. Por el contrario un sistema bajo
particiones FAT o FAT32, carece totalmente de este tipo de
protección en los archivos, siendo estos accesibles por
cualquier usuario que use el sistema.
Las direcciones de correo a las que envía el mensaje, son
extraídas de todos los archivos del disco duro con las
siguientes extensiones:
.abd
.dbx
.htm
.html
.tbb
.wab
Las direcciones son guardadas en el siguiente archivo:
c:\windows\winload.log
El gusano se copia a si mismo en las siguientes ubicaciones:
c:\windows\dllreg.exe
c:\windows\system\load32.exe
c:\windows\system\vxdmgr32.exe
NOTA: "C:\Windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "C:\Windows" en Windows
9x/ME/XP o "C:\WinNT" en Windows NT/2000).
También se copia en la carpeta de inicio del sistema:
c:\windows\menú inicio\programas\inicio\rundllw.exe
NOTA: "C:\Windows\Menú Inicio\Programas\Inicio" en Windows
95, 98 y Me. En Windows XP y 2000 es "C:\Documents and
Settings\[usuario]\Menú Inicio\Programas\Inicio" y en Windows
NT "C:\WinNT\Profiles\[usuario]\Menú
Inicio\Programas\Inicio". [Usuario] también puede ser [All
Users] (incluido "C:\WINDOWS\All Users\Menú
Inicio\Programas\Inicio").
También crea este componente troyano:
c:\windows\windrive.exe
El troyano puede conectarse a un servidor predefinido de IRC
(Internet Relay Chat), y recibir ordenes de un usuario
remoto. También puede robar contraseñas del usuario
infectado.
El gusano modifica las siguientes claves del registro para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
load32 = C:\windows\system\load32.exe
También modifica los archivos WIN.INI y SYSTEM.INI en la
carpeta C:\Windows:
En WIN.INI:
[windows]
run = c:\windows\dllreg.exe
En SYSTEM.INI:
[boot]
shell = explorer.exe c:\windows\system\vxdmgr32.exe
Cómo dijimos antes, esta versión es capaz de infectar
archivos .EXE en particiones NTFS. Para ello utiliza esta
técnica:
1. Copia el .EXE original a un stream [nombre_original]:STR
2. Sobrescribe el archivo original con su propio código
El Explorer no podrá mostrar el archivo original mientras
esté en un "stream". "File Streams" es una característica del
sistema de archivos NTFS (Windows NT/2000/XP) que permite
múltiples secuencias de datos, a diferencia de otros
sistemas, donde solo hay una secuencia de datos, el propio
programa. Un archivo es una abstracción de un flujo de datos
entre el disco duro y los programas de usuario y NTFS nos
permite asociar bajo un mismo nombre de archivo varios flujos
de datos aparte del principal, diferenciados por un nombre.
Puede compararse esto a tener varios archivos comprimidos en
un solo .ZIP por ejemplo, donde cada stream es accesible como
un archivo individual. En Windows 95, 98 o Me, ejecutándose
bajo sistemas FAT o FAT32, estos streams no existen.
Luego, el gusano intenta infectar todos los archivos en las
unidades C a la Z, pero por un error en su código, solamente
infecta archivos .EXE en el directorio raíz de esas unidades.
El troyano, queda a la espera de instrucciones por el puerto
TCP/10000. Estas instrucciones le permitirán al intruso crear
o borrar archivos y directorios, cambiar el puerto por
defecto para la conexión del propio troyano, etc.
También habilita el puerto TCP/1001, por el que puede recibir
las instrucciones para ejecutar programas en forma remota en
la computadora infectada, abrir la bandeja de la lectora de
CD, o ejecutar un archivo de sonido.
Finalmente, también abre el puerto TCP/2283, por donde recibe
instrucciones para ser reenviado a otros servidores, actuando
como un proxy.
El troyano también captura lo tecleado por la víctima, y
guarda esta información en el siguiente archivo:
c:\windows\rundllx.sys
Busca archivos con extensión .KWM y guarda la información
contenida en cada uno de esos archivos, en el siguiente:
c:\windows\rundlln.sys
Crea el siguiente archivo usado para captura de teclas
pulsadas en el segundo archivo:
c:\windows\guid32.dll
c:\windows\vxdload.log
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos infectados en una partición NTFS, deberán
ser reinstalados o copiados de un respaldo anterior.
Sugerimos que se llame a un servicio técnico especializado
para realizar estas tareas si desea intentar la recuperación
de la valiosa información guardada en su computadora.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\dllreg.exe
c:\windows\system\load32.exe
c:\windows\system\vxdmgr32.exe
c:\windows\menú inicio\programas\inicio\rundllw.exe
c:\windows\windrive.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
load32
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Editar el archivo WIN.INI y SYSTEM.INI
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
run = c:\windows\dllreg.exe
Debe quedar como:
[windows]
run =
3. Grabe los cambios y salga del bloc de notas.
4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
5. Busque lo siguiente:
[boot]
shell = explorer.exe c:\windows\system\vxdmgr32.exe
y déjelo así:
[boot]
shell = explorer.exe
6. Grabe los cambios y salga del bloc de notas
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
6 - W32/Pandem.B. Asunto: "Microsoft Security Bulletin"
_____________________________________________________________
http://www.vsantivirus.com/pandem-b.htm
Nombre: W32/Pandem.B
Tipo: Gusano de Internet
Alias: W32/Squirm.A, W32.Squirm@mm, Squirm, Win32/Squirm.A,
I-Worm.Squirm.A, W32.Pandem.B.Worm, Win32/Pandem.B,
W32/Pandem-B
Fecha: 19/ago/03
Tamaño: 104,448 bytes
Plataforma: Windows 32-bit
Este gusano, escrito en Microsoft C++, está comprimido con la
herramienta PEBundle. Se propaga a través del correo
electrónico, simulando ser una actualización de Microsoft, y
también a través de algunas utilidades de intercambio de
archivos entre usuarios como KaZaA, Morpheus, eDonkey,
Grokster, LimeWire, GNucleus, BearShare y también ICQ, además
de otros (redes P2P). También lo hace a través de algunos
canales de IRC.
Para propagarse por e-mail, envía un mensaje como el
siguiente a todos los contactos seleccionados en la máquina
infectada:
De: support@microsoft.com
Asunto: Microsoft Security Bulletin
Datos adjuntos: (uno de los siguientes)
patch.zip
patch_329390.exe
Texto:
Unchecked Buffer in Windows Explorer Could
Enable System Compromise (329390)
Summary
Who should read this bulletin: Customers using
Microsoft Windows 95,98,2K,ME,XP
Impact of vulnerability: Run code of an
attacker's choice
Maximum Severity Rating: Critical
Recommendation: Customers using Microsoft Windows
95,98,2K,ME,XP should apply the patch immediately.
Si el gusano se ejecuta en la máquina infectada, se crea el
siguiente archivo:
c:\windows\Zlib.dll
Se trata de una utilidad de compresión legítima, y no posee
código maligno. Es utilizada por el gusano para crear su
propia versión comprimida.
NOTA: "C:\Windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "C:\Windows" en Windows
9x/ME/XP o "C:\WinNT" en Windows NT/2000).
Muestra luego una ventana de diálogo con el siguiente texto:
Security Patch 329390
Patching system... Wait
[ OK ]
Si el usuario pincha en [OK], el gusano agrega las siguientes
entradas al registro de Windows, la primera para
autoejecutarse en cada reinicio, y la segunda para su propia
configuración:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
CPU Manager = c:\windows\cpumgr.exe
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
Type = High
Después de ello, crea los siguientes archivos:
c:\windows\cpumgr.dll
c:\windows\cpumgr.exe
c:\windows\pdmn.smt
c:\windows\photo.zip
Donde:
º CPUMGR.DLL es una copia codificada del gusano
º CPUMGR.EXE es el ejecutable
º PDMN.SMT contiene información sobre el sistema infectado
º PHOTO.ZIP es un archivo comprimido conteniendo una copia
del gusano.
Después de ello, muestra otra ventana de diálogo, con este
segundo mensaje:
Security Patch 329390
Patched. Thanks for using Microsoft Windows
[ OK ]
Al pincharse en el botón [OK], el gusano queda residente en
memoria por cierto período de tiempo. Después de ello, el
gusano procede a copiarse en algunas de las carpetas de
intercambio de archivos entre usuarios P2P, con los
siguientes nombres y ubicaciones:
c:\archivos de programa\
bearshare\shared\connection booster.exe
bearshare\shared\cracker game.exe
bearshare\shared\cracks collections.exe
bearshare\shared\credit card.exe
bearshare\shared\hacker.scr
bearshare\shared\hotmail hack.exe
bearshare\shared\icq hack.exe
bearshare\shared\matrix reloaded.scr
bearshare\shared\norton keygen-all vers.exe
bearshare\shared\serials collections.exe
bearshare\shared\simpsons.exe
bearshare\shared\xxx virtual sex.scr
direct connect\received files\connection booster.exe
direct connect\received files\cracker game.exe
direct connect\received files\cracks collections.exe
direct connect\received files\credit card.exe
direct connect\received files\hacker.scr
direct connect\received files\hotmail hack.exe
direct connect\received files\icq hack.exe
direct connect\received files\matrix reloaded.scr
direct connect\received files\norton keygen-all vers.exe
direct connect\received files\serials collections.exe
direct connect\received files\simpsons.exe
direct connect\received files\xxx virtual sex.scr
edonkey2000\incoming\connection booster.exe
edonkey2000\incoming\cracker game.exe
edonkey2000\incoming\cracks collections.exe
edonkey2000\incoming\credit card.exe
edonkey2000\incoming\hacker.scr
edonkey2000\incoming\hotmail hack.exe
edonkey2000\incoming\icq hack.exe
edonkey2000\incoming\matrix reloaded.scr
edonkey2000\incoming\norton keygen-all vers.exe
edonkey2000\incoming\serials collections.exe
edonkey2000\incoming\simpsons.exe
edonkey2000\incoming\xxx virtual sex.scr
gnucleus\downloads\connection booster.exe
gnucleus\downloads\cracker game.exe
gnucleus\downloads\cracks collections.exe
gnucleus\downloads\credit card.exe
gnucleus\downloads\hacker.scr
gnucleus\downloads\hotmail hack.exe
gnucleus\downloads\icq hack.exe
gnucleus\downloads\incoming\connection booster.exe
gnucleus\downloads\incoming\cracker game.exe
gnucleus\downloads\incoming\cracks collections.exe
gnucleus\downloads\incoming\credit card.exe
gnucleus\downloads\incoming\hacker.scr
gnucleus\downloads\incoming\hotmail hack.exe
gnucleus\downloads\incoming\icq hack.exe
gnucleus\downloads\incoming\matrix reloaded.scr
gnucleus\downloads\incoming\norton keygen-all vers.exe
gnucleus\downloads\incoming\serials collections.exe
gnucleus\downloads\incoming\simpsons.exe
gnucleus\downloads\incoming\xxx virtual sex.scr
gnucleus\downloads\matrix reloaded.scr
gnucleus\downloads\norton keygen-all vers.exe
gnucleus\downloads\serials collections.exe
gnucleus\downloads\simpsons.exe
gnucleus\downloads\xxx virtual sex.scr
grokster\my grokster\connection booster.exe
grokster\my grokster\cracker game.exe
grokster\my grokster\cracks collections.exe
grokster\my grokster\credit card.exe
grokster\my grokster\hacker.scr
grokster\my grokster\hotmail hack.exe
grokster\my grokster\icq hack.exe
grokster\my grokster\matrix reloaded.scr
grokster\my grokster\norton keygen-all vers.exe
grokster\my grokster\serials collections.exe
grokster\my grokster\simpsons.exe
grokster\my grokster\xxx virtual sex.scr
icq\shared files\connection booster.exe
icq\shared files\cracker game.exe
icq\shared files\cracks collecions.exe
icq\shared files\credit card.exe
icq\shared files\hacker.scr
icq\shared files\hotmail hack.exe
icq\shared files\icq hack.exe
icq\shared files\matrix reloaded.scr
icq\shared files\norton keygen-all vers.exe
icq\shared files\serials collections.exe
icq\shared files\simpsons.exe
icq\shared files\xxx virtual sex.scr
kazaa lite\my shared folder\connection booster.exe
kazaa lite\my shared folder\cracker game.exe
kazaa lite\my shared folder\cracks collections.exe
kazaa lite\my shared folder\credit card.exe
kazaa lite\my shared folder\hacker.scr
kazaa lite\my shared folder\hotmail hack.exe
kazaa lite\my shared folder\icq hack.exe
kazaa lite\my shared folder\matrix reloaded.scr
kazaa lite\my shared folder\norton keygen-all vers.exe
kazaa lite\my shared folder\serials collections.exe
kazaa lite\my shared folder\simpsons.exe
kazaa lite\my shared folder\xxx virtual sex.scr
kazaa\my shared folder\connection booster.exe
kazaa\my shared folder\cracker game.exe
kazaa\my shared folder\cracks collections.exe
kazaa\my shared folder\credit card.exe
kazaa\my shared folder\hacker.scr
kazaa\my shared folder\hotmail hack.exe
kazaa\my shared folder\icq hack.exe
kazaa\my shared folder\matrix reloaded.scr
kazaa\my shared folder\norton keygen-all vers.exe
kazaa\my shared folder\serials collections.exe
kazaa\my shared folder\simpsons.exe
kazaa\my shared folder\xxx virtual sex.scr
kmd\my shared folder\connection booster.exe
kmd\my shared folder\cracker game.exe
kmd\my shared folder\cracks collections.exe
kmd\my shared folder\credit card.exe
kmd\my shared folder\hacker.scr
kmd\my shared folder\hotmail hack.exe
kmd\my shared folder\icq hack.exe
kmd\my shared folder\matrix reloaded.scr
kmd\my shared folder\norton keygen-all vers.exe
kmd\my shared folder\serials collections.exe
kmd\my shared folder\simpsons.exe
kmd\my shared folder\xxx virtual sex.scr
limewire\shared\connection booster.exe
limewire\shared\cracker game.exe
limewire\shared\cracks collections.exe
limewire\shared\credit card.exe
limewire\shared\hacker.scr
limewire\shared\hotmail hack.exe
limewire\shared\icq hack.exe
limewire\shared\matrix reloaded.scr
limewire\shared\norton keygen-all vers.exe
limewire\shared\serials collections.exe
limewire\shared\simpsons.exe
limewire\shared\xxx virtual sex.scr
morpheus\my shared folder\connection booster.exe
morpheus\my shared folder\cracker game.exe
morpheus\my shared folder\cracks collections.exe
morpheus\my shared folder\credit card.exe
morpheus\my shared folder\hacker.scr
morpheus\my shared folder\hotmail hack.exe
morpheus\my shared folder\icq hack.exe
morpheus\my shared folder\matrix reloaded.scr
morpheus\my shared folder\norton keygen-all vers.exe
morpheus\my shared folder\serials collections.exe
morpheus\my shared folder\simpsons.exe
morpheus\my shared folder\xxx virtual sex.scr
Es capaz también de enviarse a usuarios de algunos canales de
chat (IRC), utilizando DCC (Direct Client to Client). DCC es
el protocolo de transferencia de archivos utilizado en el
IRC, para el intercambio de datos entre computadoras a través
de los comandos SEND y GET.
A través del IRC, utiliza la transferencia directa (DCC) a
otros usuarios conectados al mismo canal de chat.
El gusano puede enviar una notificación de infección a un
usuario remoto, y quedar a la escucha de una respuesta por el
puerto 61282.
El gusano puede consumir una gran cantidad de recursos
mientras se ejecuta, provocando una notoria perdida de
rendimiento del sistema.
Finalmente, el gusano intentará conectarse al sitio
www.google.com, para examinar su posibilidad de conexión a
Internet. Si ella es posible, entonces el gusano comienza a
enviarse en mensajes como el ya visto. Además, intentará
enviar un mensaje a su autor.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\cpumgr.dll
c:\windows\cpumgr.exe
c:\windows\pdmn.smt
c:\windows\photo.zip
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
CPU Manager
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Windows
5. Pinche en la carpeta "Windows" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Type
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* El IRC y los virus
Se recomienda precaución al recibir archivos a través de los
canales de IRC. Sólo acepte archivos que usted ha pedido,
pero aún así, jamás los abra o ejecute sin revisarlos antes
con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar
respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su
configuración, funciones como "send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la
configuración de "DCC" para transferencia de archivos,
selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de
éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
* Actualizaciones:
21/ago/03 - Alias: W32.Pandem.B.Worm
21/ago/03 - Renombrado como W32/Pandem.B (antes W32/Squirm.A)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1141 Año 7, Viernes 22 de agosto de 2003
|
Responder a este mensaje
