| Asunto: | VSantivirus No. 1147 Año 7, Jueves 28 de agosto de 2003 | | Fecha: | Jueves, 28 de Agosto, 2003 04:01:04 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1147 Año 7, Jueves 28 de agosto de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Solución para borrar Sobig.F directamente en el servidor
2 - Microsoft busca el ojo del huracán
3 - Expertos discrepan sobre nuevos datos del Sobig.F
4 - Los virus ahora atacan a los programas cartográficos
5 - W32/Astef.A. Se propaga por P2P y modifica archivos
6 - W32/Tenrobo. Infector de .EXE y troyano backdoor
_____________________________________________________________
1 - Solución para borrar Sobig.F directamente en el servidor
_____________________________________________________________
http://www.vsantivirus.com/sobigf-virusstopper.htm
Solución para borrar Sobig.F directamente en el servidor
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
El Sobig.F es una verdadera epidemia, pero el mayor problema,
es que, aunque usted no esté infectado, debe "sufrir" la
descarga de cientos de mensajes cada vez que intenta bajar su
correo.
Este programa gratuito, le trae la solución a este problema.
Para ver más detalles sobre el gusano Sobig.F, siga este
enlace:
W32/Sobig.F. Gusano de gran propagación
http://www.vsantivirus.com/sobig-f.htm
Por supuesto, recuerde que NUNCA debe abrir adjuntos no
solicitados. En el caso del Sobig.F, usted solo se infecta si
abre un adjunto.
Pero aunque no esté infectado, la cantidad de mensajes que
puede recibir, ya de por si es una gran molestia.
Además, existe otro problema que aumenta la cantidad de
mensajes. Desafortunadamente, la mayoría de los sistemas
antivirus en los servidores, devuelven los mensajes
infectados al supuesto remitente. Cómo el Sobig.F puede
usurpar su dirección (aún cuando no esté infectado), seguro
recibirá también esos mensajes devueltos, que usted no envió.
El otro problema es que con tantos mensajes, puede quedarse
rápidamente sin espacio en su buzón, a menos que descargue
seguido su correo. Cada mensaje del gusano tiene unos 100 Kb.
Recibir más de 50 significa casi 5 Mb del preciado espacio (y
más dinero gastado si no utiliza una conexión de banda
ancha). ¡Nosotros llegamos a recibir más de 200 mensajes por
hora en un solo día!.
Este programa borra en el servidor, sin bajarlos a su
computadora, todos los mensajes infectados por el Sobig.F, y
también aquellos devueltos por los servicios antivirus
mencionados antes.
El programa solo detecta la versión actual del Sobig.F.
Descárguelo de la página que se da al final y ejecútelo para
instalarlo. El archivo solo mide 460 Kb.
Luego, configure cada una de sus cuentas (soporta múltiples
cuentas), con el nombre del servidor POP3, nombre de usuario
y contraseña (puede sacar estos datos de las propiedades de
sus cuentas de correo en el programa que utilice para ello
habitualmente, Outlook Express, Outlook, Eudora, The Bat,
etc.
Si posee una conexión de banda ancha de 24 horas, puede
ejecutar Virus Stopper para que examine sus casillas cada 5 o
10 minutos por ejemplo, y borre los mensajes del gusano,
evitando que su correo se sature.
Si utiliza conexión telefónica, ejecute el programa antes de
conectarse con su programa de correo habitual, a los efectos
de eliminar rápidamente todos los mensajes infectados,
evitando estar conectado demasiado tiempo para descargar sus
mensajes.
I-Worm.Sobig.F Virus Stopper no borra ningún otro mensaje, y
soporta todas las versiones de Windows, menos Windows 95.
* Descarga y más información:
I-Worm.Sobig.F Virus Stopper
http://www.bytegems.com/sobigstopper.shtml
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Microsoft busca el ojo del huracán
_____________________________________________________________
http://www.vsantivirus.com/lz-huracan.htm
Microsoft busca el ojo del huracán
Por Lissette Zapata
liszapata@videosoft.net.uy
Microsoft parece buscar el ojo del huracán, al analizar la
posibilidad de que las próximas versiones de Windows para uso
hogareño, realicen de manera automática las actualizaciones
necesarias, sin necesidad del consentimiento del usuario.
Los ejecutivos de Microsoft, después de la devastadora semana
vivida luego de la aparición del gusano Blaster (o Lovsan),
el cual infectó a más de 500,000 computadoras, afirman que es
tiempo de considerar que las actualizaciones de los
programas, sea un proceso automático para los usuarios de
casa.
"La compañía está analizando seriamente que las futuras
versiones de Windows realicen el proceso de actualización de
parches y los Service Pack, de manera automática, pero
dejando abierta la posibilidad de que el usuario se niegue a
recibirlos específicamente", dijo Mike Nash, vicepresidente
corporativo de la seguridad de Microsoft.
"El deseo principal cuando se creó el XP, fue complacer lo
que se nos pedía, que era... ' yo no quiero que Microsoft
ponga las cosas automáticamente en mi máquina ' ", dijo Nash.
Pero, "con los actuales eventos nosotros estamos encontrando
ahora que cada vez más clientes quieren estar actualizados
con los parches de seguridad, considerando los tipos de
amenazas actuales, además de pedir que nosotros les
actualicemos sus equipos automáticamente, no sólo
transmitiendo las noticias de la existencia de los parches,
sino instalándolos también".
La próxima versión de Windows que los analistas esperan a más
tardar para el 2004, podría ser la primera en permitir que la
actualización de los parches y Service Pack, se hagan de
manera automática, sin requerir la aprobación explícita del
usuario. Pero Microsoft también está considerando hacerlo así
en las actuales versiones para el hogar, y para ello, si
fuera necesario, lanzar una actualización, a través de un
Service Pack especifico.
La decisión para hacer este proceso obligatorio para los
usuarios hogareños, aún no ha sido tomada, pero un ejecutivo
de Microsoft ya lo llamó, "la solución ideal". Microsoft
envió un correo electrónico informando de una "actualización
crítica" el 16 de julio, alertando a sus clientes de la
vulnerabilidad que hace que gusanos como el "Blaster", se
puedan introducir en sus equipos, pero muchos ignoraron la
advertencia hasta que el gusano empezó a extenderse muy
rápidamente.
Por otra parte, la compañía no tiene ningún plan para
considerar a los usuarios comerciales en este proceso, debido
a que algunos parches suelen interferir con programas que son
usados por ellos y creados por terceros. En redes
corporativas los parches deben ser probados, antes de ser
instalados en toda la red.
Pero incluso algunos de los críticos más firmes contra
Microsoft, dicen que probablemente sea tiempo para exigirles
a los usuarios que instalen ellos mismos los parches, y no
solo sugerirles que lo hagan.
"Yo siempre he sido un enemigo feroz de que las
actualizaciones de Microsoft sean automáticas, porque no me
gusta la idea de que alguien más --y particularmente
Microsoft-- controle mi sistema", dijo Bruce Schneider, co-
fundador de Counterpane Internet Security Inc.
"Microsoft tendrá que investigar profundamente como funcionan
los bugs para hacer que la actualización automática sea
funcional", dijo Alan Paller, director de la investigación
para el Instituto SANS, en Bethesda. Porque la mayor parte de
las futuras actualizaciones automáticas, sólo estarían
presentes en Windows 2000 y Windows XP.
"Me gusta el sistema de actualización automática, pero la
solución real es hacerlo obligatorio solo para aquellos
usuarios que no tomen como importante la responsabilidad de
mantener actualizada la seguridad de sus sistemas", dijo
Paller.
Harris Miller, presidente de la Asociación de Tecnología de
la Información de América, aplaudió a Microsoft por
considerar tal posibilidad.
"Las personas van a tener que aceptar que las actualizaciones
obligatorias son parte del proceso de garantía del producto,
y eso es exactamente lo que Microsoft debería estar
haciendo", dijo Harris Miller.
De todos modos, se espera que el tema de las actualizaciones
obligatorias sea visto con temor y cause fuerte resistencia.
Sin embargo, representantes de Microsoft conceden que ese
miedo fue una de las razones por las que se pensó también en
las actualizaciones optativas.
Algunos expertos en tecnología, temen que Microsoft pueda
usar las actualizaciones obligatorias para cambiar de manera
silenciosa el sistema operativo y con ello bloquear ciertos
programas usados ilegalmente.
Después de que se liberó el primer Service Pack para Windows
XP en el otoño pasado, muchos usuarios fracasaron en sus
intentos de instalarlo, debido a que Microsoft utilizó esa
actualización para verificar que las versiones de su producto
fueran legales, y al no serlo se bloquearon algunos
programas.
Microsoft comentó que la compañía utilizó esa facilidad para
verificar la información de su producto y con ello
proporcionar las actualizaciones exactas para el mismo, y que
ninguna información personal seria almacenada.
Seth Schoen, tecnólogo del personal de la compañía Electronic
Frontier Foundation, dijo que Microsoft necesitaría explicar
exactamente y de una manera clara a sus usuarios, lo que
estaban transmitiendo automáticamente a sus computadoras,
además de darles la oportunidad para rechazar ese proceso.
"El argumento para cambiar la actualización al modo
automático, se basa totalmente en los últimos acontecimientos
vividos", dijo Schoen.
Otro aspecto que también se tomará en cuenta, será incluir en
las nuevas versiones de Windows XP, que el cortafuegos se
encuentre siempre activo por defecto, dijo Steve Lipner,
director de la seguridad de la compañía que diseña la
estrategia.
Las actuales versiones de Windows XP, tanto la hogareña como
la profesional, les permiten a los usuarios que sean ellos
los que configuren el firewall.
* Relacionados:
Preguntas frecuentes sobre el Lovsan (Blaster)
http://www.vsantivirus.com/faq-lovsan.htm
Blaster, o como sacar provecho de las cosas malas
http://www.vsantivirus.com/lz-lecciones.htm
La mayor epidemia de gusanos informáticos de la historia
http://www.vsantivirus.com/ev26-08-03.htm
Lovsan, Blaster o MSBlast. Una pesadilla anunciada
http://www.vsantivirus.com/ev12-08-03.htm
Después de todo, es un simple gusano...
http://www.vsantivirus.com/apagon14-08-03.htm
Cuando un virus puso en peligro a la humanidad
http://www.vsantivirus.com/lz-nuclear.htm
Lo que debería saber sobre la vulnerabilidad RPC/DCOM
http://www.vsantivirus.com/vul-rpc-dcom.htm
La información y la seguridad
http://www.vsantivirus.com/fdc-info-seguridad.htm
Una pieza más del dominó, o un simple espectador
http://www.vsantivirus.com/lz-domino.htm
Seguridad Informática: Peligros Ocultos
http://www.vsantivirus.com/zma-peligros.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Expertos discrepan sobre nuevos datos del Sobig.F
_____________________________________________________________
http://www.vsantivirus.com/sobigf-timewarner2.htm
Expertos discrepan sobre nuevos datos del Sobig.F
Por Angela Ruiz
angela@videosoft.net.uy
Expertos antivirus quitan importancia a los recientes
reclamos sobre una posible variante modificada del Sobig.F,
que incluiría siete nuevos servidores de correo (SMTP) y de
nombres (DNS), del proveedor norteamericano Time Warner
Telecom Inc., subsidiaria de AOL Time Warner.
Time Warner Telecom Inc. es un proveedor de redes ópticas de
banda ancha para empresas.
Según lo revelado el martes por la compañía de software
antivirus BitDefender de Rumania, estos nombres estarían
codificados en el cuerpo del gusano. La información ofrecida
brinda dudas respecto a si ya existían, o se trata de una
modificación posterior a la acción en que las autoridades
dieron de baja los 20 servidores originales, desde donde el
Sobig.F debería obtener las direcciones para descargar
presuntas modificaciones, o alguna clase de ejecutable de
características y propósitos desconocidos.
Esta acción está prevista para llevarse a cabo cada viernes y
domingo, entre las 19:00 y las 22:00 horario UTC/GMT, hasta
el próximo 10 de setiembre de 2003, fecha en que el gusano se
auto deshabilitaría.
Según Mihai Chiriac de BitDefender, es evidente que el gusano
pide información a esas nuevas direcciones, espera la
respuesta, y luego ejecuta el archivo descargado. Sin
embargo, no hay indicios de los efectos de ese código.
Esta afirmación de BitDefender llega después que los
especialistas lograron dar de baja los 20 servidores
originales, como dijimos antes. Sin embargo, para otros
investigadores no hay muchas razones para preocuparse de
esto.
Ian Hameroff, de eTrust (Computer Associates International
Inc.), afirma que el descubrimiento de estos nuevos
servidores no aporta nada especial, y no significa "haber
descubierto un tesoro".
Para los especialistas de Computer Associates, los nombres de
estos servidores, simplemente podrían formar parte de la
rutina de propagación del Sobig.F.
La información original de BitDefender sobre el tema, en que
se basó la noticia publicada por VSAntivirus en su edición
1146 (ver "Existe un nuevo Sobig.F que usa a Time Warner
Telecom", http://www.vsantivirus.com/sobigf-timewarner.htm),
no aparece actualmente en el enlace aportado ayer.
* Más información:
Existe un nuevo Sobig.F que usa a Time Warner Telecom
http://www.vsantivirus.com/sobigf-timewarner.htm
El misterio de un "nuevo" Sobig.F con nuevos servidores
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=266
* Relacionados:
La mayor epidemia de gusanos informáticos de la historia
http://www.vsantivirus.com/ev26-08-03.htm
Reflexiones sobre el Sobig.F, lo que nadie dijo
http://www.vsantivirus.com/sobigf-reflexiones.htm
W32/Sobig.F. Gusano de gran propagación
http://www.vsantivirus.com/sobig-f.htm
Medidas contra la "segunda ola" del Sobig.F
http://www.vsantivirus.com/sobig-segunda-ola.htm
Kaspersky Antivirus 3.0 no detecta al Sobig.F
http://www.vsantivirus.com/kav3-obsoleto.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Los virus ahora atacan a los programas cartográficos
_____________________________________________________________
http://www.vsantivirus.com/ev-mba-first.htm
Los virus ahora atacan a los programas cartográficos
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
[Publicado con autorización de Enciclopedia Virus]
Kaspersky ha detectado el primer virus que afecta a MapInfo,
una popular aplicación utilizada para el análisis
cartográfico y geográfico en todo el mundo. MBA.First está
escrito en el mismo lenguaje propietario usado por la
aplicación.
Kaspersky Labs ha reportado la detección del primer virus
capaz de infectar las tablas de MapInfo, uno de los programas
más populares para el análisis cartográfico y geográfico.
El virus, llamado MBA.First por Kaspersky, se activa cuando
las tablas de MapInfo son abiertas. Una vez lanzado, el virus
se propaga a todas las demás tablas de MapInfo.
Dependiendo de la fecha en la computadora infectada, el virus
podría borrar todos los archivos correspondientes a las
tablas del MapInfo.
MapInfo es una aplicación desarrollada por MapInfo
Corporation, que goza de gran popularidad a nivel mundial. El
programa utiliza su propio lenguaje de programación, llamado
MapBasic, con el cuál es posible crear diferentes
aplicaciones de usuario.
El virus MBA.First, el primero que se conoce que afecta a los
programas cartográficos de MapInfo, es un archivo binario
escrito en el mismo lenguaje de la aplicación, MapBasic.
* Relacionados:
MapInfo
http://www.mapinfo.com/
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en
VSAntivirus.com con la respectiva autorización. Los derechos
de republicación para su uso en otro medio, deberán
solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=268
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Astef.A. Se propaga por P2P y modifica archivos
_____________________________________________________________
http://www.vsantivirus.com/astef-a.htm
Nombre: W32/Astef.A
Tipo: Gusano de Internet
Alias: W32.HLLW.Astef, Bloodhound.W32.5
Fecha: 27/ago/03
Reportado por: Symantec
Tamaño: 110,592 bytes
Plataforma: Windows 32-bit
Este gusano se propaga a través de las redes de intercambio
de archivos entre usuarios P2P, tales como KaZaA, KaZaA Lite,
Grokster, Bearshare, eDonkey2000, Morpheus, Limewire,
Overnet, Papigator, XoloX, Tesla, WinMX, Shareaza, Gnucleus,
y también ICQ.
Puede renombrar varios archivos de Windows, así como
suplantar otros por su propio código.
Cuando el gusano se ejecuta, el mismo renombra los siguientes
archivos si existen:
Nombre y ubicación original:
c:\windows\calc.exe
c:\windows\notepad.exe
c:\windows\sol.exe
c:\windows\freecell.exe
c:\progra~1\trillian\trillian.exe
c:\progra~1\msnmes~1\msnmsgr.exe
c:\progra~1\icq\icq.exe
Nuevo nombre y ubicación:
c:\windows\system\calc.com
c:\windows\system\notepad.exe
c:\windows\system\sol.com
c:\windows\system\freecell.com
c:\progra~1\trillian\trillian.com
c:\progra~1\msnmes~1\msnmsgr.com
c:\progra~1\icq\icq.com
NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System"
pueden variar de acuerdo al sistema operativo instalado (con
esos nombres por defecto en Windows 9x/ME, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
Luego se copia a si mismo con los siguientes nombres y
ubicaciones:
c:\progra~1\icq\icq.exe
c:\progra~1\msnmes~1\msnmsgr.exe
c:\progra~1\trillian\trillian.exe
c:\windows\calc.exe
c:\windows\freecell.exe
c:\windows\notepad.exe
c:\windows\ocx32.exe
c:\windows\sol.exe
c:\windows\svchost.exe
c:\windows\windll32.exe
c:\windows\windows_critical_update.exe
c:\windows\windowsupdate.exe
También crea el siguiente archivo de texto (no contiene
código maligno):
c:\windows\system\driversys.dat
Crea las siguientes entradas en el registro, para
autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WindowsCriticalUpdate =
c:\windows\windows_critical_update.exe
WIndowsUpdate = svchost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
windll = c:\windows\windll32.exe
ocx32 = c:\windows\ocx32.exe
microsoft = c:\windows\svchost.exe
Además crea o modifica las siguientes entradas:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
DisableSharing = 0
HKEY_CURRENT_USER\Software\Grokster\LocalContent
DisableSharing = 0
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
Hidden = 0
ShowSuperHidden = 0
Intenta copiarse en las siguientes carpetas por defecto de
varios programas P2P:
c:\archivos de programa
\bearshare\shared
\edonkey2000\incoming
\gnucleus\downloads
\grokster\my grokster
\icq\shared folder
\kazaa lite k++\my shared folder
\kazaa lite\my shared folder
\kazaa\my shared folder
\kmd\my shared folder
\limewire\shared
\morpheus\my shared folder
\overnet\incoming
\rapigator\share
\shareaza\downloads
\tesla\files
\winmx\my shared folder
\winmx\shared
\xolox\downloads
c:\my downloads
c:\my shared folder
Utiliza para copiarse, nombres como los siguientes:
AIM & AOL Password Hacker.exe
HotMail Hack.exe
Mircosoft CD Key Generator.exe
PornStar3D.exe
simsonline(money-cheat)-WORKS.exe
Sony PlayStation Hack Boot Disk (No MOD Chip Needed)-Working.exe
Spy Toolz.exe
Super Sex Games.exe
XBOX-BootDVD+Instructions.exe
* Reparación manual
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\progra~1\icq\icq.exe
c:\progra~1\msnmes~1\msnmsgr.exe
c:\progra~1\trillian\trillian.exe
c:\windows\calc.exe
c:\windows\freecell.exe
c:\windows\notepad.exe
c:\windows\ocx32.exe
c:\windows\sol.exe
c:\windows\svchost.exe
c:\windows\windll32.exe
c:\windows\windows_critical_update.exe
c:\windows\windowsupdate.exe
c:\windows\system\driversys.dat
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
WindowsCriticalUpdate
WIndowsUpdate
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
windll
ocx32
microsoft
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent
7. Pinche en la carpeta "LocalContent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
DisableSharing
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Grokster
\LocalContent
9. Pinche en la carpeta "LocalContent" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
DisableSharing
10. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
11. Pinche en la carpeta "Advanced" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Hidden
ShowSuperHidden
12. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Renombrar archivos
Debe renombrar y/o copiar los siguientes archivos:
Nombre y ubicación dados por el gusano:
c:\windows\system\calc.com
c:\windows\system\notepad.exe
c:\windows\system\sol.com
c:\windows\system\freecell.com
c:\progra~1\trillian\trillian.com
c:\progra~1\msnmes~1\msnmsgr.com
c:\progra~1\icq\icq.com
Nombre y ubicación original:
c:\windows\calc.exe
c:\windows\notepad.exe
c:\windows\sol.exe
c:\windows\freecell.exe
c:\progra~1\trillian\trillian.exe
c:\progra~1\msnmes~1\msnmsgr.exe
c:\progra~1\icq\icq.exe
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
6 - W32/Tenrobo. Infector de .EXE y troyano backdoor
_____________________________________________________________
http://www.vsantivirus.com/tenrobo.htm
Nombre: W32/Tenrobo
Tipo: Infector de ejecutables y caballo de Troya (backdoor)
Alias: W95.Tenrobot, W95.Tenrobot.B, W95.Tenrobot.B,
PE_TENROBOT.B, W32/Tenrobot.b, W95.Tenrobot.B,
W32/Tenrobo.4257, Win95.Tenrobot.b, Win95/Tenrobot.B,
W95.Tenrobot.C, Win95.Tenrobot.C, Win32.Tenrobot.4718
Plataformas: Windows 95, 98 y Me
Tamaño: 8,192, 4,257, 4,718 bytes
Fecha: 8/abr/03, 24/abr/03, 10/jun/03
Se trata de un virus residente en memoria y encriptado, que
infecta archivos ejecutables con extensión .EXE, cada vez que
alguno es abierto. Solo funciona en Windows 95, 98, y ME.
Contiene rutinas con características de caballo de Troya de
acceso remoto a través de una puerta trasera (backdoor).
Puede recibir comandos vía Internet, a través de una conexión
de IRC (Internet Relay Chat), y luego ejecutarlos. Utiliza el
puerto 6667.
Cuando un archivo infectado se ejecuta, el virus queda
residente en memoria, y luego le pasa el control al archivo
original.
Se engancha con las funciones de apertura de archivos del
sistema operativo, de modo que intercepta todo archivo con
extensión .EXE, cada vez que uno de ellos es abierto por el
usuario, o por cualquier otro proceso. Utiliza una función
indocumentada de las APIs para ello. Las API (Application
Program Interface), son un conjunto de rutinas que un
programa de aplicación utiliza para solicitar servicios
ejecutados por el sistema operativo.
Evita infectar archivos cuyo nombre contenga la siguiente
cadena: PSTORES
El virus agrega su código al final de la última sección del
archivo infectado, además de cierta cantidad de bytes
"basura", con la única intención de variar el tamaño del
archivo con valores al azar.
Existen al menos tres variantes con muy pocas diferencias
entre sí:
º W32/Tenrobo.A (3/abr/03) - Tamaño: 8,192 bytes
º W32/Tenrobo.B (24/abr/03) - Tamaño: 4,257 Bytes
La diferencia con la versión A, es que su código se encuentra
encriptado.
º W32/Tenrobo.C (10/jun/03) - Tamaño: 4,718 bytes
Su código se encuentra encriptado solo en parte, y utiliza un
servidor de IRC diferente para conectarse.
Pueden existir diferencias entre los nombres asignados por
cada fabricante de antivirus a cada una de esas versiones.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Cómo el virus queda residente en memoria, debe iniciar su PC
desde un disquete, y proceder a la limpieza del mismo con un
antivirus como el F-Prot, tal como se indica en nuestro
sitio:
Cómo ejecutar F-PROT desde disquetes
http://www.vsantivirus.com/fprot-disq.htm
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1147 Año 7, Jueves 28 de agosto de 2003
|
VSantivirus No. 11
Responder a este mensaje
