| Asunto: | VSantivirus No. 1164 Año 7, Domingo 14 de setiembre de 2003 | | Fecha: | Domingo, 14 de Septiembre, 2003 01:05:32 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1164 Año 7, Domingo 14 de setiembre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Ejecución de código con el asistente para búsquedas
2 - VBS/Ryon.A. Simula ser un "Mail delivery failed"
3 - W32/Marjor.A. Puede obligar a reinstalar Windows
4 - W32/Titog.C. Borra antivirus y otros archivos
_____________________________________________________________
1 - Ejecución de código con el asistente para búsquedas
_____________________________________________________________
http://www.vsantivirus.com/vul-navigateandfind.htm
Ejecución de código con el asistente para búsquedas
Por Angela Ruiz
angela@videosoft.net.uy
Microsoft Internet Explorer 5.01, 5.5 y 6.0, pueden permitir
a un atacante remoto obtener información sensible de la
computadora de su víctima, por visitar ésta un sitio Web
maliciosamente modificado. Esto se debe a una vulnerabilidad
en la función "NavigateAndFind", en combinación con el
protocolo "file:".
El Asistente para búsquedas de Microsoft Windows (agregada a
partir de la versión 5 del IE), es una herramienta de
búsqueda basada en tareas que permite a los usuarios
especificar el tipo de información que están buscando en
lugar del motor de búsqueda que desean usar. El Asistente
para búsquedas abre la barra de búsqueda en la parte
izquierda del Internet Explorer cuando el usuario hace clic
en el botón Búsqueda.
Esta barra puede ser personalizada con la misma funcionalidad
posible con el IE. Esto incluye JScript, VBScript, controles
ActiveX, HTML dinámico, conjuntos de marcos, hojas de estilo
en cascada (CSS), etc. Para ello se emplea la función
"NavigateAndFind", por ejemplo:
window.external.NavigateAndFind(dirección,descripción)
Combinando esta facilidad con una vulnerabilidad en el
protocolo "file:", un atacante remoto puede abrir un sitio
Web utilizando "NavigateAndFind" para obtener información
sensible y ejecución arbitraria de código en una ventana y
dominio diferente.
Son afectados los siguientes productos, en todas las
versiones de Windows:
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0
No hay ningún parche oficial para esta falla al momento
actual.
Esta es una de varias vulnerabilidades sin solución
recientemente divulgadas en Internet.
Una solución sugerida es desactivar el Active Scripting,
ActiveX, y sitios Web agregados, o utilizar la configuración
sugerida en el siguiente artículo:
Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Es importante hacer notar que el método explicado aquí, se
basa en la confianza a las páginas que son agregadas a la
zona con menores restricciones, por lo que se recomienda
habilitar como tal, solo aquellas que son visitadas
regularmente.
* Referencias:
Secunia Security Advisory 9711
Microsoft Internet Explorer Multiple Vulnerabilities
https://testzone.secunia.com/advisories/9711/
BugTraq Mailing List,
Wed Sep 10 2003 - 00:39:09 CDT, MSIE->NAFfileJPU
http://archives.neohapsis.com/archives/bugtraq/2003-09/0149.html
* Otras vulnerabilidades relacionadas:
Barra multimedia en IE6 permite la ejecución de código
http://www.vsantivirus.com/vul-media-sidebar.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - VBS/Ryon.A. Simula ser un "Mail delivery failed"
_____________________________________________________________
http://www.vsantivirus.com/ryon-a.htm
Nombre: VBS/Ryon.A
Tipo: Gusano de Visual Basic Script
Alias: VBS/Ryon@MM, VBS/Generic@MM
Fecha: 11/set/03
Tamaño: 15,417 bytes, 1,290 bytes
Plataforma: Windows 32-bit
El gusano, un script de Visual Basic, se propaga a través del
correo electrónico y de los canales de IRC (Internet Relay
Chat).
Utiliza un mensaje con las siguientes características para
propagarse a través del correo electrónico:
Asunto:
Mail delivery failed: returning message to sender.
Archivo adjunto: message.vbs
Texto:
This message was created automatically by mail delivery
software. A message that you sent could not be delivered
to one or more of its recipients (see above from address).
This is a permanent error. A copy of the message,
including all the headers, is attached.
La extensión .VBS queda oculta en una instalación por defecto
de Windows (ver en las referencias "Mostrar las extensiones
verdaderas de los archivos").
Cuando se ejecuta, se copia a si mismo en las siguientes
ubicaciones:
c:\message.vbs
c:\windows\tasksys.vbs
c:\windows\\message.vbs
c:\windows\system\message.vbs
c:\windows\system\helpdesk.vbs
c:\windows\system\asl.vbs
c:\windows\system\welcome.vbs
c:\windows\system\fwtwih.dll
NOTA: En todos los casos, "C:\Windows" y "C:\Windows\System"
pueden variar de acuerdo al sistema operativo instalado (con
esos nombres por defecto en Windows 9x/ME, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
También agrega la siguiente entrada al registro, para
autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
tasksys = c:\windows\tasksys.vbs
También crea el siguiente archivo HTML:
c:\readme.html
Dicho archivo muestra el siguiente texto en letras amarillas
con fondo rojo:
VBS.Bounce by
TYVTYCCKA
El gusano también genera los siguientes archivos:
c:\embryon.dll
c:\embryon.vbs
Este último archivo modifica la siguiente entrada del
registro para cambiar la página de inicio del Internet
Explorer:
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = http:/ /www.greenpeace.org
También copia el archivo C:\MESSAGE.VBS a todos las unidades
de disco locales y las compartidas en red, con el nombre de
X:\README.VBS, donde "X" es la unidad correspondiente.
Luego busca la presencia del programa mIRC en la máquina
infectada. Si existe una carpeta \MIRC, agrega al archivo de
configuración de este software, SCRIPT.INI, las instrucciones
para enviar a otros usuarios que compartan los mismos canales
de chat con el usuario infectado.
Utilizando las rutinas MAPI del Outlook y Outlook Express, el
gusano se envía en un mensaje con las características
descriptas antes, a las primeras 101 direcciones de la
libreta del usuario, y registra todas las direcciones
obtenidas en la siguiente clave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Notepad\
El archivo EMBRYON.VBS crea también el archivo FLPS.VBS:
c:\windows\system\flps.vbs
FLPS.VBS intenta copiar el archivo FWTWIH.DLL a cualquier
disquete insertado en la unidad A:, con el siguiente nombre:
a:\message.vbs
Esto falla por un error en el código del gusano.
Finalmente, los archivos C:\EMBRYON.VBS y C:\EMBRYON.DLL son
borrados, y se agrega la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
flps = c:\windows\system\flps.vbs
* Reparación manual
* Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
a:\message.vbs
c:\embryon.dll
c:\embryon.vbs
c:\message.vbs
c:\readme.html
c:\windows\message.vbs
c:\windows\system\asl.vbs
c:\windows\system\flps.vbs
c:\windows\system\fwtwih.dll
c:\windows\system\helpdesk.vbs
c:\windows\system\message.vbs
c:\windows\system\welcome.vbs
c:\windows\tasksys.vbs
X:\readme.vbs
Donde la "X" representa a todas las unidades de disco.
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las siguientes
entradas:
tasksys
flps
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main
5. Pinche en la carpeta "Main" y en el panel de la derecha,
bajo la columna "Nombre", busque la siguiente entrada:
Start Page
6. Pinche en "Start Page" y modifique el valor
"c:\windows\system32\news.htm" por el valor "about:blank".
7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Windows Scripting Host y Script Defender
Si no se tiene instalado el Windows Scripting Host, el virus
no podrá ejecutarse. Para deshabilitar el WSH y para ver las
extensiones verdaderas de los archivos, recomendamos el
siguiente artículo:
Algunas recomendaciones sobre los virus escritos en VBS
http://www.vsantivirus.com/faq-vbs.htm
Si no desea deshabilitar el WSH, recomendamos instalar Script
Defender, utilidad que nos protege de la ejecución de
archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF,
.WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y
gusanos escritos en Visual Basic Script por ejemplo, ya no
nos sorprenderán.
Utilidades: Script Defender, nos protege de los scripts
http://www.vsantivirus.com/script-defender.htm
* Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde
Herramientas, Opciones de Internet, General, Página de
inicio, por una de su preferencia. O navegue hacia una página
de su agrado, pinche en Herramientas, Opciones de Internet,
General, y finalmente pinche en "Usar actual".
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Marjor.A. Puede obligar a reinstalar Windows
_____________________________________________________________
http://www.vsantivirus.com/marjor-a.htm
Nombre: W32/Marjor.A
Tipo: Virus
Alias: W32/Marjor.A, W32.Marjor
Fecha: 12/set/03
Plataforma: Windows 32-bit
Virus escrito en Microsoft Visual Basic, capaz de
sobrescribir todos los archivos que sean abiertos en un
equipo infectado. Esto hace imposible la mayoría de las
veces, la reparación del sistema infectado sin tener que
formatear y reinstalar.
No posee rutinas de propagación. Los canales de distribución
más usados son el correo electrónico (envío predeterminado o
por error de un archivo infectado), listas de noticias
(newsgroups), canales de IRC, y redes P2P como KaZaa y otros.
Cuando se ejecuta, se copia con el siguiente nombre y
ubicación:
c:\windows\SysImpReadMe.exe
NOTA: "C:\Windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "C:\Windows" en Windows
9x/ME/XP o "C:\WinNT" en Windows NT/2000).
Crea las siguientes entradas en el registro para
autoejecutarse:
HKCR\Marjorie\Shell\Open\Command
"" = c:\windows\SysImpReadMe.exe %1
HKCR\Marjorie
"" = "I"
HKCR\Marjorie\Shell
"" = "LOVE YOU"
HKCR\Marjorie\Shell\Open
"" = "OPEN"
HKCR\.[todas las claves que comiencen con un punto]
"" = "Marjorie"
Esto ocasiona que el virus sobrescriba cualquier archivo
abierto por una copia de si mismo. Por ejemplo, si el archivo
DOCUMENTO.TXT es abierto, el virus lo sobrescribe con su
código y luego cambia el nombre del archivo por el siguiente:
DOCUMENTO.TXT.EXE
Esto puede hacer imposible la reparación de la infección y
tal vez se deba formatear y reinstalar Windows y todos los
programas.
* Reparación manual
Los siguientes pasos solo se dan como referencia, ya que si
el gusano se ejecutó, los cambios realizados, pueden hacer
imposible la recuperación del sistema. La única solución
efectiva será reinstalar todos los programas y aplicaciones,
incluido Windows.
Sugerimos que se llame a un servicio técnico especializado
para realizar estas tareas si desea intentar la recuperación
de la valiosa información guardada en su computadora.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
3. En todas las entradas que empiecen con un punto (.323,
.386, .aca, etc.), haga doble clic sobre dichas carpetas y en
la ventana de la derecha borre este valor:
"" = "Marjorie"
4. Borre también la carpeta "Marjorie" de esta clave:
HKEY_CLASSES_ROOT\Marjorie
5. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
7. Vuelva a ejecutar el antivirus actualizado y borre todas
las apariciones del virus.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Titog.C. Borra antivirus y otros archivos
_____________________________________________________________
http://www.vsantivirus.com/titog-c.htm
Nombre: W32/Titog.C
Tipo: Gusano de Internet
Alias: W32.Titog.C.Worm, Win32/Titog.C.Worm
Variante: W32/Titog.A (ver al final)
Fecha: 12/set/03
Plataforma: Windows 32-bit
Tamaño: 31,244 bytes
Este gusano se envía en forma masiva a través del correo
electrónico, utilizando las rutinas MAPI del Outlook y
Outlook Express. MAPI (Messaging Application Programming
Interface), es una interface de programación para
aplicaciones que gestionen correo electrónico, servicios de
mensajería, trabajos en grupo, etc.
También se propaga a través de los canales de IRC (Internet
Relay Chat). Posee una rutina capaz de borrar numerosos
archivos y valores del registro.
El mensaje que envía por e-mail (en inglés), simula ser un
acelerador para la velocidad de conexión a Internet:
Asunto: Speed up your connection!
Datos adjuntos: t_dsl.exe
Texto:
Speed up your connection up to 2 times faster!
windows xp/2000/9x
Cuando se ejecuta, se copia con los siguientes nombres:
c:\windows\system\nabv32.exe
\mirc\icq2004.exe
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
La carpeta "\mirc" dependerá del directorio donde se haya
instalado este programa (mIRC).
El gusano crea la carpeta "GotITFolder" dentro de System:
c:\windows\system\GotITFolder\
Luego se copia allí con nombres seleccionados al azar.
Agrega las siguientes entradas al registro, para
autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
anbv32 = c:\windows\system\nabv32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
anbv32 = c:\windows\system\nabv32.exe
Crea el siguiente archivo en la carpeta de instalación del
mIRC:
\mirc\Scri1.ini
Utiliza dicho archivo para propagarse con el nombre de
ICQ2004.EXE en los canales de chat visitados, utilizando
transferencias DCC (Direct Client to Client). Los archivos
enviados entre usuarios participantes de un canal de chat
(IRC) se transmiten por medio de una sesión denominada DCC
(Direct Client to Client), que permite la transferencia
directa de los mismos.
También envía el mensaje electrónico descripto antes, a todos
los contactos de la libreta de direcciones del Outlook y
Outlook Express.
El gusano intenta además, descargar algunos archivos desde un
sitio Web específico.
Además, intentará borrar los siguientes archivos, casi todos
pertenecientes a conocidos antivirus y otro software de
seguridad, como cortafuegos, etc.:
_Avpcc.exe
_Avpm.exe
Ackwin32.exe
Agentsvr.exe
Ahnsd.exe
Alogserv.exe
Amon9x.exe
Anti-Trojan.exe
Antivirus.exe
Ants.exe
Apimonitor.exe
Aplica32.exe
Apvxdwin.exe
Atcon.exe
Atguard.exe
Atupdater.exe
Atwatch.exe
Autodown.exe
Autotrace.exe
Avconsol.exe
Avgcc32.exe
Avgctrl.exe
Avgserv.exe
Avgserv9.exe
Avgserv9schedapp.exe
Avgw.exe
Avkpop.exe
Avkserv.exe
Avkservice.exe
Avkwcl9.exe
Avkwctl9.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpexec.exe
Avpinst.exe
Avpm.exe
Avrescue.exe
Avsynmgr.exe
Avwinnt.exe
Avxmonitor9x.exe
Avxmonitornt.exe
Avxquar.exe
Avxw.exe
Bd_Professional.exe
Bidef.exe
Bidserver.exe
Bipcp.exe
Bisp.exe
Blackd.exe
Blackice.exe
Bootwarn.exe
Borg2.exe
Bs120.exe
Cdp.exe
Cdp.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Claw95.exe
Claw95cf.exe
Clean.exe
Cleaner.exe
Cleaner3.exe
Cleanpc.exe
Cmgrdian.exe
Cmon016.exe
Connectionmonitor.exe
Cpf9x206.exe
Defscangui.exe
Defwatch.exe
Deputy.exe
Doors.exe
Dpf.exe
Drwatson.exe
Drweb32.exe
Efpeadm.exe
Escanh95.exe
Escanhnt.exe
Escanv95.exe
Etrustcipe.exe
Evpn.exe
Exantivirus-Cnet.exe
Expert.exe
F-Agnt95.exe
Fameh32.exe
Fast.exe
Fch32.exe
Fih32.exe
Firewall.exe
Fix-It.exe
Flowprotector.exe
Fnrb32.exe
F-Prot.exe
F-Prot95.exe
Fp-Win.exe
Fp-Win_Trial.exe
Frw.exe
Fsaa.exe
Fsav32.exe
Fsav95.exe
Fsave32.exe
Fsgk32.exe
Fsm32.exe
Fsma32.exe
Fsmb32.exe
F-Stopw.exe
Fwenc.exe
Gbmenu.exe
Gbpoll.exe
Generics.exe
Guard.exe
Guarddog.exe
Ifw2000.exe
Iomon98.exe
Iparmor.exe
Iris.exe
Jammer.exe
Ldpromenu.exe
Ldscan.exe
Localnet.exe
Lockdown.exe
Lockdown2000.exe
Mcagent.exe
Mcshield.exe
Mcshieldvvstat.exe
Mctool.exe
Mcvsrte.exe
Mcvsshld.exe
Mgavrtcl.exe
Mgavrte.exe
Mgui.exe
Minilog.exe
Monitor.exe
Monsys32.exe
Monsysnt.exe
Mrflux.exe
Msinfo32.exe
Mxtask.exe
Navapw32.exe
Navdx.exe
Navrunr.exe
Navstub.exe
Navw32.exe
Nc2000.exe
Neomonitor.exe
Neowatchlog.exe
Netarmor.exe
Netinfo.exe
Netmon.exe
Netscanpro.exe
Netspyhunter-1.2.exe
Netstat.exe
Netutils.exe
Nisserv.exe
Nisum.exe
Nmain.exe
Npfmessenger.exe
Nprotect.exe
Npssvc.exe
Ntvdm.exe
Ntxconfig.exe
Nui.exe
Nvarch16.exe
Nwservice.exe
Offguard.exe
Ostronet.exe
Outpost.exe
Padmin.exe
Panixk.exe
Pavproxy.exe
Pccclient.exe
Pccguide.exe
Pcciomon.exe
Pccwin97.exe
Pcfwallicon.exe
Pcscan.exe
Periscope.exe
Persfw.exe
Pf2.exe
Pfwadmin.exe
Pingscan.exe
Platin.exe
Portdetective.exe
Ppinupdt.exe
Pptbc.exe
Ppvstop.exe
Processmonitor.exe
Procexplorerv1.0.exe
Programauditor.exe
Proport.exe
Protectx.exe
Pspf.exe
Purge.exe
Pview95.exe
Realmon.exe
Rrguard.exe
Rshell.exe
Rtvscn95.exe
Safeweb.exe
Sbserv.exe
Scan32.exe
Scrscan.exe
Sd.exe
Sfc.exe
Sh.exe
Shn.exe
Smc.exe
Sofi.exe
Spf.exe
Sphinx.exe
Spyxx.exe
Srwatch.exe
Ss3edit.exe
St2.exe
Supftrl.exe
Supporter5.exe
Sweep95.exe
Sweepsrv.Sysvshwin32.exe
Symproxysvc.exe
Symtray.exe
Sysedit.exe
Taskmon.exe
Taumon.exe
Tauscan.exe
Tc.exe
Tca.exe
Tcm.exe
Tfak.exe
Tfak5.exe
Tgbob.exe
Titanin.exe
Titaninxp.exe
Trjscan.exe
Trojantrap3.exe
Undoboot.exe
Vbcons.exe
Vbust.exe
Vbwin9x.exe
Vbwinntw.exe
Vccmserv.exe
Vet32.exe
Vettray.exe
Vir-Help.exe
Virusmdpersonalfirewall.exe
Vnlan300.exe
Vnpc3000.exe
Vpfw30s.exe
Vptray.exe
Vsched.exe
Vsecomr.exe
Vsecomr.exe
Vshwin32.exe
Vshwin32vbcmserv.exe
Vsmain.exe
Vsmon.exe
Vsstat.exe
Vswin9xe.exe
Vswinntse.exe
W9x.exe
Watchdog.exe
Webscanx.exe
Webtrap.exe
Wgfe95.exe
Whoswatchingme.exe
Winrecon.exe
Winsfcm.exe
Wnt.exe
Wradmin.exe
Wrctrl.exe
Wsbgate.exe
Wyvernworksfirewall.exe
Zapro.exe
Zatutor.exe
Zonealarm.exe
Luego, intentará borrar cualquiera de las siguientes entradas
del registro de Windows, que estén bajo la siguiente rama:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\
CurrentVersion\ Run:
Alogserv
Amon
Apvxd
Apvxdwin
Atrack
AvconsoleEXE
AVG_CC
avgcc32
Avgserv9.exe
AVPCC
BlackIce Utility
CcApp
CcRegVfy
ConfigSafe
CPD_EXE
defwatch
dvpapi9x
Fix-it
Fix-it AV
Freedom
F-StopW
iamapp
Icon Animation
Image & Restore
InstallNAIProduct
Iomon98.exe
LoadBlackD
Look 'n' Stop
McAfee Firewall
McAfee Winguage
McAfee.InstantUpdate.Monitor
McAfeeVirusScanService
McAfeeWebscanX
McAgentExe
McUpdateExe
mgavrtclexe
minilog
Mount Safe & Sound
MPFExe
myNetWatchman
Naimagent_service
Naimagent_UI
NAV Agent
NAV Configuration Wizard
NAV DefAlert
navapw32
NB Common Dialog Enhancements
NB Start Menu
NB Windows Patterns
NFTSCLUP
nisserv
Nod32CC
NOD32POP3
Norton Auto-Protect
Norton eMail Protect
Norton Navigator Loader
Norton Program Scheduler
Norton Program Scheduler Event Checker
NPS Event Checker
OfficeGuard RegChecker
Panda Scheduler
PCCIOMON.EXE
PersFw
pop3trap
Poproxy
PP2000 Instaupdate
PP2000 Real Time Scan
PP2000 Taskbar Control
ProPort Startup
Ptsnoop
RapApp
rtvscn95
ScanInicio
Scanner Detector
SCHWIZEXo
ScriptBlocking
SDaemon
SDetect.exe
ShStatEXE
smc
SMC Service
SmcServices
supporter5
SymTray - Norton SystemWorks
Tau monitor
tcactive
tcmonitor
TDspOff
Tiny Personal Firewall
TrendMicro Antivirus
TrueVector
VAGuard
Vet Alert
Vet Start Up
VetTray
VirusScan Online
vptray
VsEcomrEXE
Vshwin32EXE
VsStatEXE
web3trap
WebScanX
Webtrap
WinGuage Pro
WinProxy
WM_LOGIN
ZoneAlarm
ZoneAlarm Pro
También intentará borrar cualquiera de las siguientes
entradas del registro de Windows, que estén bajo la siguiente
rama: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\
CurrentVersion\ RunServices:
Amon
Apvxd
Apvxdwin
Atrack
AvconsoleEXE
AVG_CC
avgcc32
Avgserv9.exe
AVPCC
AVPCC Service
BlackIce Utility
CcApp
CcRegVfy
ConfigSafe
CPD_EXE
defwatch
dvpapi9x
Fix-it
Fix-it AV
Freedom
F-StopW
iamapp
Icon Animation
Image & Restore
InstallNAIProduct
Iomon98.exe
LoadBlackD
Look 'n' Stop
McAfee Firewall
McAfee Winguage
McAfee.InstantUpdate.Monitor
McAfeeVirusScanService
McAfeeWebscanX
McAgentExe
McUpdateExe
mgavrtclexe
minilog
Mount Safe & Sound
MPFExe
myNetWatchman
Naimagent_service
Naimagent_UI
NAV Agent
NAV Configuration Wizard
NAV DefAlert
navapw32
NB Common Dialog Enhancements
NB Start Menu
NB Windows Patterns
NFTSCLUP
nisserv
Nod32CC
NOD32POP3
Norton Auto-Protect
Norton eMail Protect
Norton Navigator Loader
Norton Program Scheduler
Norton Program Scheduler Event Checker
NPS Event Checker
Panda Scheduler
PCCIOMON.EXE
PersFw
pop3trap
Poproxy
PP2000 Instaupdate
PP2000 Real Time Scan
PP2000 Taskbar Control
ProPort Startup
Ptsnoop
RapApp
rtvscn95
ScanInicio
Scanner Detector
SCHWIZEXo
ScriptBlocking
SDaemon
SDetect.exe
ShStatEXE
smc
SMC Service
SmcServices
supporter5
SymTray - Norton SystemWorks
Tau monitor
tcactive
tcmonitor
TDspOff
Tiny Personal Firewall
TrendMicro Antivirus
TrueVector
VAGuard
Vet Alert
Vet Start Up
VetTray
VirusScan Online
vptray
VsEcomrEXE
Vshwin32EXE
VsStatEXE
web3trap
WebScanX
Webtrap
WinGuage Pro
WinProxy
WM_LOGIN
ZoneAlarm
ZoneAlarm Pro
Esto obligará a reinstalar los programas mencionados.
* Otras variantes:
º W32/Titog.A
Tamaño: 25,488 bytes
Mensaje:
Asunto: Re: tiny videos
Datos adjuntos: MVC_546645.mpeg.pif
Texto: Here is one
Se copia como:
c:\windows\system\Gotit.exe
\mirc\Aim.exe
Crea la carpeta "GotITFolder" dentro de System:
c:\windows\system\GotITFolder\
Luego se copia allí con nombres seleccionados al azar.
Agrega las siguientes entradas al registro, para
autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Command = c:\windows\system\Gotit.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Command = c:\windows\system\Gotit.exe
Crea el siguiente archivo en la carpeta de instalación del
mIRC:
\mirc\Scirptoz.ini
Utiliza dicho archivo para propagarse con el nombre de
AIM.EXE.
* Reparación manual (para todas las variantes conocidas):
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos borrados deberán ser reinstalados o
copiados de un respaldo anterior, aunque seguramente, si la
rutina destructiva se llegó a ejecutar, la única solución
efectiva sea reinstalar todos los programas y aplicaciones,
incluido Windows, para restaurar también las entradas
borradas en el registro. Sugerimos que se llame a un servicio
técnico especializado para realizar estas tareas si no desea
perder la valiosa información guardada en su computadora.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos (según la variante):
c:\windows\system\nabv32.exe
\mirc\icq2004.exe
\mirc\Scri1.ini
c:\windows\system\Gotit.exe
\mirc\Aim.exe
\mirc\Scirptoz.ini
También borre la carpeta "GotITFolder" y su contenido:
c:\windows\system\GotITFolder\
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre cualquiera de las
siguientes entradas que aparezcan allí:
anbv32
Command
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre cualquiera
de las siguientes entradas que aparezcan allí:
anbv32
Command
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* El IRC y los virus
Se recomienda precaución al recibir archivos a través de los
canales de IRC. Sólo acepte archivos que usted ha pedido,
pero aún así, jamás los abra o ejecute sin revisarlos antes
con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar
respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su
configuración, funciones como "send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la
configuración de "DCC" para transferencia de archivos,
selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de
éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1164 Año 7, Domingo 14 de setiembre de 2003
|
VSantivirus No. 11
Responder a este mensaje
