Mostrando mensaje 6     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 957 - Año 7 - Miércoles 19 de febrero de 2003 Fecha: Miercoles, 19 de Febrero, 2003  10:31:32 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 957 - Año 7 - Miércoles 19 de febrero de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - El nuevo SPAM ya es un gran negocio 2 - W32/Benpao.Trojan. Roba contraseñas, altera el registro 3 - W32/Kwbot.D. Gusano y troyano, usa KaZaa e iMesh _____________________________________________________________ 1 - El nuevo SPAM ya es un gran negocio _____________________________________________________________ http://www.vsantivirus.com/spam-mensajeria.htm Por Redacción VSAntivirus vsantivirus@videosoft.net.uy [Nota VSA: Esta noticia fue publicada originalmente en octubre de 2002 (VSA 827), pero ante el aumento notorio de este tipo de actividad, la reeditamos actualizada]. En octubre de 2002, advertíamos la posibilidad de que pudiera utilizarse un nuevo método para la propagación de SPAM (publicidad no deseada). Ello era posible por medio de un servicio implementado en Windows 2000 y XP, denominado "Mensajería de Windows" (Messenger Service), el cuál permite mostrar una ventana (del tipo pop-up, o sea que se abre sobre cualquier ventana actual), con algún tipo de mensaje, por ejemplo de alerta, originalmente pensado para la comunicación y anuncios entre usuarios de una red y administradores del sistema. Técnicamente, para esto se utilizan los protocolos denominados RPC (Remote Procedure Call). Se trata de un servicio incorporado a partir de Windows 2000, destinado a permitir el envío de mensajes instantáneos entre equipos. Básicamente permiten a un sistema operativo de redes (como Windows 2000 y XP), "conversar" con otras computadoras. Para usar este servicio no es necesario más que saber la dirección IP de la red y de sus máquinas. No está implementado ningún tipo de control sobre quien envía los mensajes o quien los recibe. Recientemente, se ha notado un aumento notorio del uso de esta técnica para el envío de SPAM, con las consiguientes molestias, ya que el mensaje se superpone a cualquier pantalla actual. Un individuo malicioso podría incluso crear mensajes que simularan las advertencias de un antivirus, obligando a un usuario desprevenido a alguna acción destructiva. ¿Recuerda el HOAX que pide borrar el archivo JDBGMGR.EXE? (vea "¿Está JDBGMGR.EXE en su computadora?. ¡NO LO BORRE!", http://www.vsantivirus.com/hoax-jdbgmgr.htm). Imagínese un mensaje mucho más directo, con una falsa alarma sobre un archivo importante supuestamente infectado, pidiéndole al usuario borrarlo, con consecuencias que podrían ser desastrosas para Windows. Cualquiera puede enviarle un mensaje de este tipo, simplemente conociendo la dirección IP de su computadora, ejecutando un simple comando NET, incluso a través de Internet, buscando un puerto 139 abierto (NETBIOS), con recursos compartidos disponibles. La única identificación para este tipo de mensajes, que usted debería tener muy en cuenta, es el título de la ventana, que siempre sería "Messenger Service" o "Mensajería de Windows". Ya existen empresas que se aprovechan de esta característica para el envío de su publicidad. Para hacer esto, se valen de técnicas que le permiten actuar como verdaderos troyanos, buscando en Internet puertos abiertos (algo similar a lo que hacen virus como el Opaserv, que justamente debido a ello es tan difícil de eliminar, mientras esos puertos permanezcan abiertos). Uno de los casos más notorios es Broadcast Advertiser, que vende un software para el envío de estos "mensajes instantáneos" como un negocio totalmente legal (por cierto, técnicamente no hay una ley contra esta práctica, ya que simplemente se utiliza una característica disponible en los nuevos sistemas operativos). En su página la empresa afirma: "Nuestro software enviará su publicidad a 1,926,333 rangos IP = billones de usuarios de computadoras. ¡Publicidad segura y legal!" Con este software, cualquiera puede convertirse en "spammer"... Incluso trae opciones para crear "campañas publicitarias" y mandar mensajes a territorios como España, indicando ciudades específicas como "blancos", seguramente valiéndose de los rangos de IPs asignados a cada país. [ver imagen http://www.vsantivirus.com/spam-mensajeria.htm] Uno de los ejemplos más recientes de este SPAM (febrero 2003), es un aviso de estas características: Message from ORLANDO FLORIDA to [dirección IP] on [fecha y hora] Hoy, [fecha], por favor anote el número ganador 9090. Llame ahora mismo y reclame su premio, 00 1 305 371 7144. ANOTE EL NUMERO ANTES DE CERRAR ESTA VENTANA. Por favor tenga su numero de ganador cuando llame. Gracias por ser miembro de nuestro servicio. [ OK ] Si usted utiliza Windows 2000 o XP, tal vez prefiera deshabilitar este servicio, que después de todo seguramente no está utilizando, ni le interesa hacerlo. Para ello siga estos pasos: * Windows 2000 1. Pinche en Inicio, Programas, Herramientas administrativas, Servicios 2. Busque y señale "Messenger" o "Mensajero" 3. Pinche con el botón derecho y seleccione Propiedades 4. Pinche en STOP o DETENER 5. Seleccione la opción para deshabilitarlo o ponerlo manual 6. Acepte los cambios * Windows XP 1. Pinche Inicio, Panel de control 2. Seleccione Rendimiento y mantenimiento 3. Seleccione las herramientas administrativas 4. Haga doble clic sobre Servicios 5. Busque y seleccione "Messenger" o "Mensajero" 6. Seleccione botón derecho, Propiedades 7. Pinche en el botón de detener 8. Seleccione deshabilitarlo o dejarlo manual 9. Acepte los cambios * Windows NT 1. Pinche Inicio, Panel de control 2. Seleccione Servicios 3. Busque y señale "Messenger" o "Mensajero" 4. Seleccione botón derecho, Propiedades 5. Pinche en el botón de detener 6. Seleccione deshabilitarlo o dejarlo manual 7. Acepte los cambios (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Benpao.Trojan. Roba contraseñas, altera el registro _____________________________________________________________ http://www.vsantivirus.com/benpao.htm Nombre: W32/Benpao.Trojan Tipo: Caballo de Troya Alias: W32.Benpao.Trojan Fecha: 17/feb/03 Tamaño: 49,664 bytes Plataforma: Windows 32-bits Este troyano, escrito en Visual Basic y comprimido con la utilidad UPX, roba las contraseñas y otra información sensible (login del usuario, etc.) del usuario infectado, y las envía a un atacante remoto vía e-mail. También modifica el registro para que cada vez que se intente ejecutar un archivo con alguna de las siguientes extensiones, se ejecute antes el propio troyano: .chm .exe .ini .reg .scr .txt Cuando el troyano se ejecuta, realiza las siguientes acciones: 1. Se copia a si mismo en las siguientes carpetas, todas bajo la unidad C: C:\%dir%\.exe C:\%dir%\d.exe C:\%dir%\e.exe C:\%dir%\f.exe C:\%dir%\w.exe C:\%dir%\kx.exe La variable "%Dir%" puede ser cualquier carpeta en la unidad C: 2. Se copia a si mismo en la carpeta System de Windows y luego se ejecuta: C:\Windows\System\ExploreB.exe "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). 3. También se agrega a la siguiente rama del registro para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ExplorerBen = C:\%dir%\kx.exe 4. Cambia los siguientes valores del registro de Windows: HKLM\Software\Classes\chm.file\shell\open\command (Predeterminado) C:\%dir%\.exe HKLM\Software\Classes\scrfile\shell\open\command (Predeterminado) C:\%dir%\d.exe %1 HKLM\Software\Classes\regfile\shell\open\command (Predeterminado) C:\%dir%\w.exe %1 HKLM\Software\Classes\exefile\shell\open\command (Predeterminado) C:\%dir%\d.exe %1 % HKLM\Software\Classes\txtfile\shell\open\command (Predeterminado) C:\%dir%\F.exe %1 HKLM\Software\Classes\inifile\shell\open\command (Predeterminado) C:\%dir%\e.exe %1 5. Crea el archivo de texto "C:\DebugFI", donde almacena la información acerca de los archivos que el troyano copia en la computadora infectada. 6. Intenta finalizar cualquier proceso en memoria relacionado con estos nombres: kav9x.exe kavsvc9x.exe kavsvcui.exe smenu.exe ravmon.exe watcher.exe 7. Intenta enviar la información previamente robada del sistema a un atacante remoto, a través del correo electrónico. Esta información consiste en nombre de usuario, contraseñas, y alguna otra clase de material que usted desearía mantener en secreto o en forma confidencial en su sistema. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Editar el registro Debido a que el gusano modifica el registro para que no se puedan ejecutar los archivos .EXE, se debe hacer una copia del editor del registro con la extensión .COM antes de ejecutarlo. 1. Pinche en "Inicio", "Ejecutar", escriba lo siguiente y pulse Enter: command Se abrirá una pantalla de MS-DOS 2. Escriba los siguientes comandos y pulse Enter al final de cada línea: - En Windows 95, 98, Me y XP teclee: cd\ cd Windows - En Windows NT y 2000 teclee: cd\ cd Winnt En todos los sistemas, teclee luego: copy regedit.exe regedit.com start regedit.com Se deberá abrir el editor del registro. 3. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: ExplorerBen 5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Classes \chm.file \shell \open \command 6. Pinche en la carpeta "command" y seleccione "(Predeterminado)". Cambie "C:\%dir%\.exe" por "C:\Windows\hh.exe %1" 7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Classes \scrfile \shell \open \command 6. Pinche en la carpeta "command" y seleccione "(Predeterminado)". Cambie "C:\%dir%\d.exe %1" por "%1 /s" 7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Classes \regfile \shell \open \command 6. Pinche en la carpeta "command" y seleccione "(Predeterminado)". Cambie "C:\%dir%\w.exe %1" por "regedit.exe %1" 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Classes \exefile \shell \open \command 9. Pinche en la carpeta "command" y seleccione "(Predeterminado)". Cambie "C:\%dir%\d.exe %1 %" por "%1 %" 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Classes \txtfile \shell \open \command 11. Pinche en la carpeta "command" y seleccione "(Predeterminado)". Cambie "C:\%dir%\F.exe %1" por "C:\Windows\Notepad.exe %1" 12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Classes \inifile \shell \open \command 13. Pinche en la carpeta "command" y seleccione "(Predeterminado)". Cambie "C:\%dir%\e.exe %1" por "C:\Windows\Notepad.exe %1" 14. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Kwbot.D. Gusano y troyano, usa KaZaa e iMesh _____________________________________________________________ http://www.vsantivirus.com/kwbot-d.htm Nombre: W32/Kwbot.D Tipo: Gusano de Internet y caballo de Troya de acceso remoto Alias: KWBOT.D, W32.Kwbot.D.Worm, W32.Kwbot.Worm, W32.KWBOT.WORM, WORM_KWBOT.D, Trojan.Win32.Pac, Pac Tamaño: 102,200 bytes Fecha: 18/feb/03 Plataforma: Windows 32-bits Básicamente es similar a W32/Kwbot.C, salvo que su ejecutable ha sido recomprimido y se han cambiado los nombres de algunos archivos y sus referencias en el registro. Este gusano utiliza los populares programas de intercambio de archivos entre usuarios, KaZaa e iMesh, para propagarse. Genera además un troyano de acceso remoto que se conecta a través del IRC, y que permite que un atacante tome el control de la máquina infectada. Programado en C, el ejecutable está comprimido y encriptado, y utiliza también técnicas de protección para dificultar su detección. Cuando se ejecuta por primera vez, el virus se copia a si mismo como "Winsys.exe" en el directorio System de Windows: C:\Windows\System\Winsys.exe Luego, modifica el registro para poder ejecutarse con cada nuevo reinicio del sistema operativo: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Winsys = Winsys.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Winsys = Winsys.exe HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce Winsys = Winsys.exe También crea la clave "Krypton" en la siguiente rama del registro: HKEY_Local_Machine\Software\krypton Crea la siguiente carpeta: C:\Windows\UserTemp Allí se copia a si mismo más de 100 veces, con diferentes nombres de una lista incluida en su propio código. Los atributos de todos los archivos creados, marcan que están como "ocultos" (+H). Los archivos creados cambian su tamaño para simular ser más grandes la mayoría de los casos (para simular ser el paquete de software por el que intenta hacerse pasar). El verdadero tamaño del troyano son 553,600 bytes. Se utilizan nombres de conocidos programas y aplicaciones multimedia: ACDSee 5.5.exe Ad-aware 6.5.exe Age of Empires 2 crack.exe Animated Screen 7.0b.exe Anno 1503_crack.exe AOL Instant Messenger.exe AquaNox2 Crack.exe Audiograbber 2.05.exe BabeFest 2003 ScreenSaver 1.5.exe Babylon 3.50b reg_crack.exe Battlefield1942_bloodpatch.exe Battlefield1942_keygen.exe Business Card Designer Plus 7.9.exe C&C Generals_crack.exe C&C Renegade_crack.exe Clone CD 5.0.0.3 (crack).exe Clone CD 5.0.0.3.exe Coffee Cup Free HTML 7.0b.exe Cool Edit Pro v2.55.exe Diablo 2 Crack.exe DirectDVD 5.0.exe DirectX Buster (all versions).exe DirectX InfoTool.exe DivX Video Bundle 6.5.exe Download Accelerator Plus 6.1.exe DVD Copy Plus v5.0.exe DVD Region-Free 2.3.exe FIFA2003 crack.exe Final Fantasy VII XP Patch 1.5.exe Flash MX crack (trial).exe FlashGet 1.5.exe FreeRAM XP Pro 1.9.exe GetRight 5.0a.exe Global DiVX Player 3.0.exe Gothic 2 licence.exe GTA 3 Crack.exe GTA 3 patch (no cd).exe Guitar Chords Library 5.5.exe Hitman_2_no_cd_crack.exe Hot Babes XXX Screen Saver.exe ICQ Lite (new).exe ICQ Pro 2003a.exe ICQ Pro 2003b (new beta).exe iMesh 3.6.exe iMesh 3.7b (beta).exe IrfanView 4.5.exe KaZaA Hack 2.5.0.exe KaZaA Lite (New).exe KaZaA Speedup 3.6.exe Links 2003 Golf game (crack).exe Living Waterfalls 1.3.exe Mafia_crack.exe Matrix Screensaver 1.5.exe MediaPlayer Update.exe mIRC 6.40.exe mp3Trim PRO 2.5.exe MSN Messenger 5.2.exe NBA2003_crack.exe Need 4 Speed crack.exe Nero Burning ROM crack.exe Netfast 1.8.exe Network Cable e ADSL Speed 2.0.5.exe Neverwinter_Nights_licence.exe NHL 2003 crack.exe Nimo CodecPack (new) 8.0.exe PalTalk 5.01b.exe Popup Defender 6.5.exe Pop-Up Stopper 3.5.exe QuickTime_Pro_Crack.exe Serials 2003 v.8.0 Full.exe SmartFTP 2.0.0.exe SmartRipper v2.7.exe Space Invaders 1978.exe Splinter_Cell_Crack.exe Steinberg_WaveLab_5_crack.exe Trillian 0.85 (free).exe TweakAll 3.8.exe Unreal2_bloodpatch.exe Unreal2_crack.exe UT2003_bloodpatch.exe UT2003_keygen.exe UT2003_no cd (crack).exe UT2003_patch.exe WarCraft_3_crack.exe Winamp 3.8.exe WindowBlinds 4.0.exe WinOnCD 4 PE_crack.exe WinZip 9.0b.exe Yahoo Messenger 6.0.exe Zelda Classic 2.00.exe Luego, para propagarse a través de los programas de intercambio de archivos entre usuarios (KaZaa e iMesh), el troyano cambia el contenido de las siguientes claves del registro: HKEY_Current_User\Software\Kazaa\LocalContent DisableSharing = 0 dir0 = 012345:C:\Windows\UserTemp dir1 = 012345:C:\Windows\UserTemp [etc.] HKEY_Current_User\Software\iMesh\Client\LocalContent DisableSharing = 0 dir0 = 012345:C:\Windows\UserTemp dir1 = 012345:C:\Windows\UserTemp [etc.] Esto hace que los usuarios descarguen archivos con KaZaa e iMesh, desde la carpeta "\Windows\UserTemp". KaZaa o iMesh deben estar instalados para que el gusano pueda propagarse. Luego, el gusano abre dos puertos TCP y UDP al azar para conectarse con el atacante. Queda entonces a la espera de comandos, utilizando su propio canal de IRC. No es necesario que exista un cliente de IRC en la máquina infectada. Los comandos recibidos permiten al atacante remoto realizar cualquiera de las siguientes acciones (se requiere autentificación por contraseña): - Actualizar el virus descargándose una nueva versión - Enviar información acerca del equipo infectado (la velocidad de la CPU, memoria, sistema operativo, tipo de conexión a Internet, la IP local etc....) - Enviar información acerca de los programas instalados - Ejecutar comandos específicos de IRC, incluyendo ataques de otros usuarios en el servidor de chat. - Controlar el cliente IRC implementado en el propio gusano. - Enviar el troyano a través de otros canales de IRC, infectando a otros usuarios. - Descargar y ejecutar cualquier otra clase de archivos, incluso virus. - Realizar ataques de denegación de servicio (D.o.S) a un blanco seleccionado por el atacante. - Desinstalarse a si mismo del sistema infectado. * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Deshabilitar las carpetas compartidas en iMesh 1. Ejecute iMesh 2. Seleccione "Options" del menú "Preferences". 3. En la ventana de "Category" seleccione "Share" y desmarque la casilla "Allow other users to view my shared files option". 4. Seleccione el menú "Media Manager" y busque en la lista de carpetas, todas las que tengan una casilla grisácea a la derecha del nombre. Márquelas para que dejen de estar grisáceas, y luego desmárquela para que quede en blanco. Repítalo con todas las carpetas y subcarpetas que allí encuentre. 5. Pinche en "Aceptar", etc. * Reparación manual Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma: 1. Actualice sus antivirus 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados por el virus 4. Con el Explorador de Windows, borre los siguientes archivos (si aparecen): C:\Windows\System\Winsys.exe C:\Windows\UserTemp\ [borre la carpeta "UserTemp"] 5. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 7. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada: Winsys 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 9. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: Winsys 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \krypton 11. Pinche en la carpeta "krypton" y bórrela. 12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Kazaa \LocalContent 13. Pinche en la carpeta "LocalContent" y borre todos las entradas del tipo: dir0 = 012345:C:\Windows\UserTemp dir1 = 012345:C:\Windows\UserTemp 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \iMesh \Client \LocalContent 15. Pinche en la carpeta "LocalContent" y borre todos las entradas del tipo: dir0 = 012345:C:\Windows\UserTemp dir1 = 012345:C:\Windows\UserTemp 16. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me VSantivirus No. 499 - 19/nov/01 http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP VSantivirus No. 587 - 14/feb/02 http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 957 - Año 7 - Miércoles 19 de febrero de 2003