Mostrando mensaje 2     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 953 - Año 7 - Sábado 15 de febrero d e 2003 Fecha: Sabado, 15 de Febrero, 2003  11:24:01 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 953 - Año 7 - Sábado 15 de febrero de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - ¡El parche crítico que precisa a su vez un parche! 2 - NTRootkit. Peligrosa herramienta de “ocultamiento” 3 - W32/Kwbot.C. Gusano y troyano, usa KaZaa e iMesh 4 - BAT/Junkboat.Worm. Adjunto: "Love_me.Bat" _____________________________________________________________ 1 - ¡El parche crítico que precisa a su vez un parche! _____________________________________________________________ http://www.vsantivirus.com/15-02-03.htm ¡El parche crítico que precisa a su vez un parche! Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Hace unos días, Microsoft publicó un importante parche acumulativo para las versiones 5.01, 5.5 y 6.0 de Internet Explorer (ver "Parches para WinXP e Internet Explorer (MS03- 004 y 005)", http://www.vsantivirus.com/vulms03-004-005.htm). Dicho parche, cubría, además de suplantar todos los parches anteriores, una nueva falla muy grave, como se explicaba en: "Parche crítico: ¡Cuidado al abrir archivos de ayuda!", http://www.vsantivirus.com/vul-showhelp.htm. Pero una semana después, se ha descubierto un nuevo problema, esta vez no de seguridad, sino de funcionalidad, ocasionado por el propio parche. Dicho problema consiste en la imposibilidad para que algunos usuarios puedan autenticarse en determinados sitios de Internet, que requieren el ingreso de contraseñas o algún tipo de credenciales, incluso en el propio web MSN de Microsoft, para el uso de su correo electrónico (MSN y Hotmail). Es así que la compañía acaba de publicar un nuevo parche (para su propio parche), el cuál soluciona el problema mencionado. En su página, Microsoft insiste en que el parche anterior corrige perfectamente la vulnerabilidad mencionada antes, y que la razón de esta nueva actualización, no involucra ningún agujero de seguridad, sino que simplemente soluciona un error en la programación del propio parche. Cómo la falla que corrige es realmente grave, aconsejamos su actualización a la brevedad posible (solo son 2 Mb. aprox.). * Descarga: February 2003, Cumulative Patch for Internet Explorer (810847) http://www.microsoft.com/windows/ie/downloads/critical/810847/default.asp Seleccione la versión del mismo idioma de su Windows (español -spanish- seguramente). * Relacionados: Parche crítico: ¡Cuidado al abrir archivos de ayuda! http://www.vsantivirus.com/vul-showhelp.htm Parches para WinXP e Internet Explorer (MS03-004 y 005) http://www.vsantivirus.com/vulms03-004-005.htm Cumulative Patch for Internet Exploter (810847) http://www.microsoft.com/technet/security/bulletin/MS03-004.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - NTRootkit. Peligrosa herramienta de “ocultamiento” _____________________________________________________________ http://www.vsantivirus.com/ntrootkit.htm Nombre: NTRootkit Tipo: Caballo de Troya Alias: Hacktool.WNT, Rootkit TROJ_ROOTKIT, WinNT.RootKit Plataforma: Windows NT, 2000, XP Pro Fecha: 13/feb/03 Fuente: Panda No se trata exactamente de un virus, sino de una herramienta que permite a un intruso ocultar sus acciones clandestinas en la computadora atacada. El propio atacante es quien instala esta herramienta. La misma solo puede funcionar en computadoras bajo Windows NT, 2000 o XP Profesional. Las posibles acciones varían, ya que existen diferentes versiones de la herramienta, todas con distintas capacidades. El usuario afectado tiene pocas probabilidades de detectar la presencia del troyano, ya que el mismo no posee elementos visibles durante su acción (no muestra ningún mensaje ni interfiere de modo notorio con ningún proceso activo). Según la variante instalada de NTRootkit, pueden provocarse diferentes resultados en las computadoras afectadas. Algunos de estos efectos: - Ocultar al usuario, cualquier archivo, proceso, o clave del registro cuyo nombre comience por _ROOT_. - Ocultarse durante la ejecución de rutinas propias de mantenimiento. Por ejemplo, puede ocultar su presencia ante la ejecución directa del comando Netstat para comprobar conexiones activas. - Función de keylogger (captura las teclas pulsadas, dejando a la disposición del atacante todo lo que la víctima escribe en su teclado, incluyendo nombres de usuario, cuentas bancarias, etc.). El troyano se activa cuando el atacante lo instala en forma premeditada, luego de obtener el acceso a la computadora afectada. Cuando se ejecuta, el troyano crea dos archivos en el directorio de Windows: C:\Windows\DEPLOY.EXE C:\Windows\NTROOT.SYS * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: C:\Windows\DEPLOY.EXE C:\Windows\NTROOT.SYS Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Actualizar Internet Explorer Actualice su Internet Explorer 5.01 o 5.5 según se explica en el siguiente artículo: Parches para WinXP e Internet Explorer (MS03-004 y 005) http://www.vsantivirus.com/vulms03-004-005.htm O instale el IE 6.0, Service Pack 1 (SP1): Cómo descargar Internet Explorer 6 SP1 en español http://www.vsantivirus.com/descarga-ie6sp1.htm Y luego actualice su Internet Explorer como se explica aquí: Parches para WinXP e Internet Explorer (MS03-004 y 005) http://www.vsantivirus.com/vulms03-004-005.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me VSantivirus No. 499 - 19/nov/01 http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP VSantivirus No. 587 - 14/feb/02 http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Kwbot.C. Gusano y troyano, usa KaZaa e iMesh _____________________________________________________________ http://www.vsantivirus.com/kwbot-c.htm Nombre: W32/Kwbot.C Tipo: Gusano de Internet y caballo de Troya de acceso remoto Alias: KWBOT.C, W32.Kwbot.C.Worm, W32.Kwbot.Worm, W32.KWBOT.WORM, WORM_KWBOT.C Tamaño: 553,600 bytes Fecha: 13/feb/03 Plataforma: Windows 32-bits Este gusano utiliza los populares programas de intercambio de archivos entre usuarios, KaZaa e iMesh, para propagarse. Genera además un troyano de acceso remoto que se conecta a través del IRC, y que permite que un atacante tome el control de la máquina infectada. Programado en C, el ejecutable está comprimido y encriptado, y utiliza también técnicas de protección para dificultar su detección. Cuando se ejecuta por primera vez, el virus se copia a si mismo como "System32.exe" en el directorio System de Windows: C:\Windows\System\System32.exe Luego, modifica el registro para poder ejecutarse con cada nuevo reinicio del sistema operativo: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SystemSAS = system32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices SystemSAS = system32.exe HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce SystemSAS = system32.exe También crea la clave "Krypton" en la siguiente rama del registro: HKEY_Local_Machine\Software\krypton Crea la siguiente carpeta: C:\Windows\UserTemp Allí se copia a si mismo más de 100 veces, con diferentes nombres de una lista incluida en su propio código. Los atributos de todos los archivos creados, marcan que están como "ocultos" (+H). Todos los archivos tienen el mismo tamaño (el del troyano), 553,600 bytes. Se utilizan nombres de conocidos programas y aplicaciones multimedia. Esta es parte de una lista ejemplo: Age of Empires 2 crack.exe Battlefield1942_bloodpatch.exe Download Accelerator Plus 6.1.exe Guitar Chords Library 5.5.exe iMesh 3.7b (beta).exe KaZaA Speedup 3.6.exe MediaPlayer Update.exe NBA2003_crack.exe Network Cable e ADSL Speed 2.0.5.exe UT2003_keygen.exe Luego, para propagarse a través de los programas de intercambio de archivos entre usuarios (KaZaa e iMesh), el troyano cambia el contenido de las siguientes claves del registro: HKEY_Current_User\Software\Kazaa\LocalContent DisableSharing = 0 dir0 = 012345:C:\Windows\UserTemp dir1 = 012345:C:\Windows\UserTemp [etc.] HKEY_Current_User\Software\iMesh\Client\LocalContent DisableSharing = 0 dir0 = 012345:C:\Windows\UserTemp dir1 = 012345:C:\Windows\UserTemp [etc.] Esto hace que los usuarios descarguen archivos con KaZaa e iMesh, desde la carpeta "\Windows\UserTemp". KaZaa o iMesh deben estar instalados para que el gusano pueda propagarse. Luego, el gusano abre dos puertos TCP y UDP al azar para conectarse con el atacante. Queda entonces a la espera de comandos, utilizando su propio canal de IRC. No es necesario que exista un cliente de IRC en la máquina infectada. Los comandos recibidos permiten al atacante remoto realizar cualquiera de las siguientes acciones (se requiere autentificación por contraseña): 1. Actualizar el virus descargándose una nueva versión 2. Enviar información acerca del equipo infectado (la velocidad de la CPU, memoria, sistema operativo, tipo de conexión a Internet, la IP local etc....) 3. Enviar información acerca de los programas instalados 4. Ejecutar comandos específicos de IRC, incluyendo ataques de otros usuarios en el servidor de chat. 5. Controlar el cliente IRC implementado en el propio gusano. 6. Enviar el troyano a través de otros canales de IRC, infectando a otros usuarios. 7. Descargar y ejecutar cualquier otra clase de archivos, incluso virus. 8. Realizar ataques de denegación de servicio (D.o.S) a un blanco seleccionado por el atacante. 9. Desinstalarse a si mismo del sistema infectado. * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Deshabilitar las carpetas compartidas en iMesh 1. Ejecute iMesh 2. Seleccione "Options" del menú "Preferences". 3. En la ventana de "Category" seleccione "Share" y desmarque la casilla "Allow other users to view my shared files option". 4. Seleccione el menú "Media Manager" y busque en la lista de carpetas, todas las que tengan una casilla grisácea a la derecha del nombre. Márquelas para que dejen de estar grisáceas, y luego desmárquela para que quede en blanco. Repítalo con todas las carpetas y subcarpetas que allí encuentre. 5. Pinche en "Aceptar", etc. * Reparación manual Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma: 1. Actualice sus antivirus 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados por el virus 4. Con el Explorador de Windows, borre los siguientes archivos (si aparecen): C:\Windows\System\System32.exe C:\Windows\UserTemp\ [borre la carpeta "UserTemp"] 5. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 7. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada: SystemSAS 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 9. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: SystemSAS 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \krypton 11. Pinche en la carpeta "krypton" y bórrela. 12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Kazaa \LocalContent 13. Pinche en la carpeta "LocalContent" y borre todos las entradas del tipo: dir0 = 012345:C:\Windows\UserTemp dir1 = 012345:C:\Windows\UserTemp 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \iMesh \Client \LocalContent 15. Pinche en la carpeta "LocalContent" y borre todos las entradas del tipo: dir0 = 012345:C:\Windows\UserTemp dir1 = 012345:C:\Windows\UserTemp 16. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me VSantivirus No. 499 - 19/nov/01 http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP VSantivirus No. 587 - 14/feb/02 http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - BAT/Junkboat.Worm. Adjunto: "Love_me.Bat" _____________________________________________________________ http://www.vsantivirus.com/junkboat.htm Nombre: BAT/Junkboat.Worm Tipo: Gusano de Internet Alias: W32/Junkbat, JUNKBOAT, W32/Junkboat@mm, W32/Junkbat, I-worm.junkboat@mm, I-Worm.Junkboat Fecha: 14/feb/03 Tamaño: 6,038 bytes Plataforma: Windows 32-bits Se trata de un gusano de propagación masiva que infecta todos los archivos en las unidades de disco y recursos compartidos en red, y también se propaga a través de la red Peer-Too-Peer Kazaa y de canales de IRC (Internet Chat Relay). El mensaje enviado, posee este adjunto: Love_me.Bat El mismo es el culpable de la infección y posterior propagación, aunque solo tenga 6Kb de tamaño. Utiliza las funciones de las librerías MAPI (Messaging Application Programming Interface) para enviarse a si mismo a todos los contactos. También se crea un archivo C:\Love_me.vbs, el cuál enviará a su vez mensajes infectados a toda la libreta de direcciones: Love_me.vbs La primera vez que se ejecuta, el gusano se copia a si mismo en el raíz de la unidad C:, y en la carpeta Windows: c:\love_me.bat c:\windows\love_me.bat También crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del día. HKLM\Software\Microsoft\Windows\CurrentVersion\Run (Predeterminado) = "C:\Love_me.Bat" Además, modifica el archivo WIN.INI (también se ejecuta al iniciarse Windows): [Windows] load = c:\Love_me.vbs Luego crea la carpeta "C:\Love_Me" con los atributos de oculta (+H) y genera copias de sí mismo con siguientes nombres: C:\Love_Me\Attrib.GIF.bat C:\Love_Me\Bootdisk.TXT.bat C:\Love_Me\CHDSK.ZIP.bat C:\Love_Me\Choice.JPEG.bat C:\Love_Me\Command.GIF.bat C:\Love_Me\Edit.MP3.bat C:\Love_Me\Fdisk.JPEG.bat C:\Love_Me\Format.AVI.bat C:\Love_Me\MEM.GIF.bat C:\Love_Me\System.dll.bat C:\Love_Me\Win.TXT.bat C:\Love_Me\win32.TXT.bat C:\Love_Me\Xcopy.TXT.bat Para su propagación vía KaZaa, agrega la siguiente clave al registro: HKEY_CURRENT_USER\software\Kazaa\LocalContent DisableSharing = "dword:00000000" DownloadDir = "C:\Program Files\Kazaa\My Shared Folder" Dir0 = "012345:C:\" Para propagarse vía Chat, crea los siguientes archivos: C:\Archivos de programa\Mirc\Script.ini C:\Archivos de programa\Mirc32\Script.ini C:\Mirc\Script.ini C:\Mirc32\Script.ini Cambia la página de inicio del Internet Explorer, por una para adultos, modificando la siguiente llave: HKCU\Software\Microsoft\Internet Explorer\Main StartPage = "http://naturalsex.org"; Finalmente crea el archivo "C:\Love_Me.vbs", capaz de propagarse a todos las direcciones del Outlook y Outlook Express, en un mensaje con estas características: Asunto: Network Security Datos adjuntos: C:\Love_Me.bat Texto del mensaje: The latest in Network Security this program protects against hackers for the moment its freeware. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\love_me.bat c:\windows\love_me.bat C:\Love_Me [toda la carpeta "Love_Me"] C:\Love_Me.vbs Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: (Predeterminado) 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Editar el archivo WIN.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [Windows] load = c:\Love_me.vbs Debe quedar como: [Windows] load = 3. Grabe los cambios y salga del bloc de notas. * Información adicional * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: VSantivirus No. 231 - 24/feb/01 Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. VSantivirus No. 561 - 20/ene/02 Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer 1. Cierre todas las ventanas del Internet Explorer abiertas 2. Seleccione "Mi PC", "Panel de control". 3. Pinche en el icono "Opciones de Internet". 4. Seleccione la lengüeta "Programas". 5. Pinche en el botón "Restablecer configuración Web" 6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI. 7. Pinche en "Aceptar". * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me VSantivirus No. 499 - 19/nov/01 http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP VSantivirus No. 587 - 14/feb/02 http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 953 - Año 7 - Sábado 15 de febrero de 2003