Mostrando mensaje 22     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 973 - Año 7 - Viernes 7 de marzo de 2003 Fecha: Viernes, 7 de Marzo, 2003  10:49:21 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 973 - Año 7 - Viernes 7 de marzo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Navegando más seguros y sin molestos Pop-Ups con el IE 2 - W32/Dormin.A. Asunto: Check this out! (FlashMovie.exe) 3 - Troj/Backdoor.Plux. Borra antivirus, acceso clandestino 4 - W32/Dmio.A. Se propaga en un archivo llamado "Dios.exe" _____________________________________________________________ 1 - Navegando más seguros y sin molestos Pop-Ups con el IE _____________________________________________________________ http://www.vsantivirus.com/faq-sitios-confianza.htm Navegando más seguros y sin molestos "Pop-Ups" con el IE Por Jose Luis Lopez videosoft@videosoft.net.uy Más de una vez me han preguntado sobre que tipo de software utilizo para proteger mis computadoras personales. Pues, lo básico. Un antivirus monitoreando y un cortafuegos. Y desde hace ya 4 meses el MailWasher como anti-spam. Nada más. Pero además, desde hace casi un año tengo configurado el sistema como lo explico en este artículo. Con esta configuración no solo evito TODAS las molestas ventanas Pop- Up (esas que se abren solas al pinchar en determinados enlaces), sino que agrego un nivel de protección contra mucho código malicioso bastante importante a un costo casi cero de gastos de recursos. Por supuesto, el complemento es un antivirus monitoreando (en mi caso opté por Nod32 que es el más liviano de todos los antivirus que probé), y ZoneAlarm como cortafuegos. Sobre MailWasher, un excelente anti-spam, próximamente publicaremos un artículo. El "truco", está en deshabilitar las posibilidades de script y ActiveX en el programa de correo (Outlook Express) y en el navegador (Internet Explorer). Esta es la configuración que uso y recomiendo: * Deshabilitar las posibilidades de script en el Outlook Express Para deshabilitar la posibilidad de ejecutar scripts al leer mensajes en el Outlook y Outlook Express, siga estos pasos: 1. Pinche en el menú "Herramientas" y seleccione "Opciones" 2. Pinche en la lengüeta "Seguridad" 3. En el Outlook Express y Outlook, asegúrese de tener marcada la opción "Zona de sitios restringidos (más segura)" (en el Outlook Express 6 en la zona de protección contra virus). En Outlook 2002 y las versiones más recientes de Outlook Express 6, esta es la configuración por defecto. Los usuarios con versiones anteriores deberán marcarla expresamente. Los cambios sugeridos arriba, deshabilitan el Active Scripting en el correo electrónico. * Deshabilitar Active Scripting en el Internet Explorer En principio, los cambios aquí deberían ser más drásticos, ya que afectan en forma directa la visualización de muchos sitios de Internet. Sin embargo, la mayoría de los sitios pueden ser visualizados correctamente, aún sin el uso de JavaScript y ActiveX. De todos modos, los que necesitan eso, simplemente pueden ser agregados a una lista preferencial, incluyéndolos en la zona de "Sitios de confianza". Es una manera fácil de seleccionar que sitios son seguros o no. Utilidades como Proxomitron hacen algo parecido (en realidad hacen bastante más), pero en mi experiencia personal, puedo decir que la técnica que aquí describo, me ha dado el mismo resultado, a un costo mucho menor de recursos, y de configuración. Para ello siga estas instrucciones: 1. Seleccione en el Panel de control, el icono "Opciones de Internet". 2. Pinche en la lengüeta "Seguridad", y luego en "Sitios de confianza". 3. Seleccione nivel "Mediano" o pinche en "Personalizar nivel" y seleccione "Restablecer configuración personal" a "Mediano". Pinche en el botón "Restablecer" y confirme el cambio. Pinche en "Aceptar". 4. Pinche en el botón "Sitios". 5. Desmarque la casilla "Necesita comprobación serv. (https:) para todos los sitios de esta zona". 6. Agregue todos los sitios que considera seguros y que visita a diario, por ejemplo, sugerimos que para empezar agregue los siguientes: http://windowsupdate.microsoft.com http://www.vsantivirus.com http://www.videosoft.net.uy http://search.freefind.com Este último (http://search.freefind.com/) es el buscador de nuestro sitio, y debe estar en esta zona para funcionar correctamente. Luego veremos como ir agregando aquellos sitios que visitamos a menudo y por lo tanto consideramos realmente "de confianza". Solo los sitios que usted coloque aquí serán visualizados sin restricciones. 7. Pinche en "Aceptar" 8. Seleccione la zona "Internet". 9. Pinche en "Nivel Predeterminado". 10. Pinche en "Personalizar nivel". 11. Busque en la lista de Configuración, "Automatización" y marque la opción "Desactivar" bajo "Secuencias de comandos ActiveX". 12. Pinche en el botón "Aceptar" y confirme el cambio. Observaciones: Si en la opción "Secuencias de comandos ActiveX" selecciona "Pedir datos", cada vez que visite una página que requiera JavaScript (o Active Scripting), saldrá una ventana con la pregunta "¿Desea permitir la ejecución de los archivos de comandos?". Si usted marca la opción "Desactivar", directamente no se ejecutará el código, y no se mostrará ningún mensaje, con lo que usted no sabrá que la página lo requiere para su correcta visualización. Pero es la opción más cómoda, ya que evita los constantes mensajes de confirmación. Y después de todo, si algún sitio no se visualiza correctamente (o no funciona un enlace), todavía podemos agregarlo a la lista de sitios de confianza. Nuestro propio sitio utiliza JavaScript (totalmente inofensivo) en un par de páginas, por lo cuál recomendamos incluirlo en la lista de sitios seguros (cómo se explicó antes). Por otra parte, hay una manera fácil para agregar o sacar sitios al área "Sitios de confianza", si instalamos la siguiente utilidad. * Instalando Trust Setter v1.72 de Jason Levine Esta utilidad agrega un par de iconos a la barra del explorador en el Internet Explorer. El primero de estos botones, agrega o quita un sitio a la lista de "Sitios de confianza" y el segundo, a la lista de "Sitios restringidos" (una opción extra que nos permite poner en "cuarentena" cualquier sitio no deseado). En otras palabras, hace lo mismo que lo que explicábamos antes de agregar a mano los sitios de confianza a la opción correspondiente. De ese modo, solo es necesario pulsar sobre el icono "del tilde" (verde) para agregarlo o quitarlo de esa zona (cada vez que pinchamos allí se invierte la operación anterior). De paso, pinchando en el segundo icono (el rojo "del signo negativo"), lo ponemos o sacamos de la lista de sitios restringidos. Pero la importante en nuestro caso, es el primer icono, para quitar o poner en la lista de sitios de confianza cualquier sitio que estemos visitando. (Nota: Deberá volver a cargar la página para que el cambio tenga efecto). Puede descargar "Trust Setter" (de apenas 8 Kb) de este enlace: http://www.videosoft.net.uy/trust-setter.zip Si descarga ese archivo al escritorio (por ejemplo), al descomprimirlo se creará una carpeta llamada "Trust-Setter". Para instalarlo, solo debemos pinchar en el icono de "install.vbs" que encontraremos dentro de esa carpeta. Luego de la instalación, deberían aparecer los iconos mencionados en la barra del explorador del Internet Explorer. [El artículo contiene imágenes que pueden ser vistas en la siguiente página http://www.vsantivirus.com/faq-sitios-confianza.htm] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Dormin.A. Asunto: Check this out! (FlashMovie.exe) _____________________________________________________________ http://www.vsantivirus.com/dormin-a.htm Nombre: W32/Dormin.A Tipo: Gusano de Internet Alias: W32.HLLW.Dormin.A@mm Fecha: 5/mar/03 Plataforma: Windows 32-bits Tamaño: 45,056 bytes Este gusano se propaga a toda la libreta de direcciones del Outlook y Outlook Express, en un mensaje con las siguientes características: Asunto: Check this out! Datos adjuntos: FlashMovie.exe (45,056 bytes) Texto del mensaje (uno de los siguientes): - Have a look at this Shockwave video of me and my lover ;) - Check out these hot teenage girls in this flash video... Email me back and tell me what you think ;) Bye - Have a look at this Shockwave video... I know you like these kinds of movies ;) Bye - Have a look at this dancing girls Shockwave video... I know you'll like it ;) Bye - What do you think of this Shockwave video with the hottest girl that I have ever seen? Email me back and tell me what you think ;) Bye - Check out this Shockwave video... I know you'll enjoy it ;) Bye El gusano borra algunos archivos de Windows, e intenta propagarse a través del mIRC y del pIRCh32 a otros usuarios de los canales de chat, así como a los usuarios del KaZaa, la utilidad de compartir archivos. Cuando el archivo adjunto al mensaje se ejecuta, el gusano realiza lo siguiente: Despliega un mensaje de error falso, para engañar al usuario sobre su verdadero objetivo: Error MacroMedia Shockwave Flash is not installed! [ OK ] Se copia a si mismo en los siguientes archivos: %Startup%\ShockWave.exe %System%\FlashMovie.exe %System%\Jdbgmgr.exe %mIRC%\FlashMovie.ex_ %Pirch32%\FlashMovie.ex_ %KaZaA%\Virtual Sex Simulator.exe %KaZaA%\Shockwave Flash.exe %KaZaA%\SWF_Movie.exe %KaZaA%\FlashMovie.exe %KaZaA%\XXX video.exe %KaZaA%\Cat attacks child.exe %KaZaA%\SWF.exe %KaZaA%\Comedy video.exe %KaZaA%\Simpsons Episode (#[Number calculated from current time]).exe %KaZaA%\Tutorial Video on Hacking.exe %KaZaA%\MacroMedia Flash 6.0.exe %KaZaA%\[SWF] - The Fast and the Furious.exe %KaZaA%\[SWF] - Swordfish.exe %KaZaA%\[SWF] - Harry Potter and the philosophers stone.exe %KaZaA%\[SWF] - Jurassic Park 3.exe %Startup% es una variable que representa la carpeta de inicio del usuario actual. Por ejemplo: C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio %System% representa a "C:\Windows\System" (en Windows 9x/ME), "C:\WinNT\System32" (en Windows NT/2000) y "C:\Windows\System32" (en Windows XP). %Mirc% y %KaZaA% representan las carpetas de instalación de ambas utilidades. Note que el gusano borra el archivo "Jdbgmgr.exe" y lo sustituye por su propia copia (Jdbgmgr.exe es mencionado en un conocido HOAX, ver "¿Está JDBGMGR.EXE en su computadora?. ¡NO LO BORRE!", http://www.vsantivirus.com/hoax-jdbgmgr.htm). También se copia a si mismo en todas las unidades de disco mapeadas (locales y de red) (fuera de la unidad C:), con el nombre de "SWF_Movie.exe". Agrega además, las siguientes entradas en el registro de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Nimrod_Keyboard = Rundll32.exe Keyboard,Disable Nimrod_Mouse = Rundll32.exe Mouse,Disable La idea es deshabilitar el teclado y el ratón cuando Windows se reinicie. También agrega la siguiente entrada, para ejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Swf32 = FlashMovie.exe Agrega además la siguiente clave: HKEY_CLASSES_ROOT\scrfile\shell\open\command\FlashMovie El gusano utiliza el Microsoft Outlook y Outlook Express para propagarse vía correo electrónico a todos los contactos de la libreta de direcciones en un mensaje como el descripto antes. * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 3. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas si existen: Nimrod_Keyboard Nimrod_Mouse Swf32 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \scrfile \shell \open \command 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada si existe: FlashMovie 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Backdoor.Plux. Borra antivirus, acceso clandestino _____________________________________________________________ http://www.vsantivirus.com/back-plux.htm Nombre: Troj/Backdoor.Plux Tipo: Caballo de Troya Alias: Backdoor.Plux Fecha: 6/mar/03 Plataforma: Windows 32-bits Tamaño: 52,224 bytes Este troyano compromete la seguridad del equipo infectado, al permitir el acceso clandestino de un intruso, que podría tomar el control total de la computadora, en forma remota. Cuando se instala, el troyano avisa al intruso mediante un mensaje de ICQ al propio centro de mensajes del atacante. Esto incluye el envío de la dirección IP de la víctima. Al ejecutarse por primera vez en una computadora, el troyano realiza las siguientes acciones: Se copia a sí mismo con los siguientes nombres de archivos: C:\Windows\Svchost.exe C:\Windows\System\Wbem\Wb.com C:\Windows\System\Com\Mscom32.com "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). El troyano crea luego la siguiente entrada en el registro: HKLM\Software\Microsoft\Active Setup\Installed Components\ {45DD0432-AA51-31EF-EEFA-06AA12E6115C}\ StubPath = C:\Windows\System\Wbem\Wb.com Para provocar su ejecución cada vez que el sistema sea reiniciado, añade a la clave del registro la siguiente entrada: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Explorer\Run COM Service = C:\Windows\System\Com\Mscom32.com Intenta finalizar los siguientes procesos, pertenecientes a conocidos antivirus y cortafuegos: _avp32 _avpcc _avpm ackwin32 advxdwin agentsvr alertsvc alogserv amon9x anti-trojan antivirus ants apimonitor aplica32 apvxdwin atcon atguard atro55en atupdater atwatch autodown autotrace avconsol avgcc32 avgctrl avgserv avgserv9 avgw avkpop avkserv avkservice avkwctl9 avp avp32 avpcc avpm avsched32 avsynmgr avwinnt avxmonitor9x avxmonitornt avxquar avxw bd_professional bidef bidserver bipcp bisp blackd blackice bootwarn borg2 bs120 cdp cfgwiz cfiadmin cfiaudit cfinet cfinet32 claw95 claw95cf clean cleaner cleaner3 cleanpc cmgrdian cmon016 connectionmonitor cpf9x206 cpfnt206 ctrl cwnb181 cwntdwmo defscangui defwatch deputy doors dpf drweb32 dvp95 dvp95_0 efpeadm ent escanh95 escanhnt escanv95 etrustcipe evpn exantivirus-cnet expert f-agnt95 fameh32 fast fch32 fih32 firewall flowprotector fnrb32 f-prot f-prot95 fp-win frw fsa fsaa fsav fsav32 fsav530stbyb fsgk32 fsm32 fsma32 fsmb32 f-stopw gbmenu gbpoll generics guard guarddog hacktracersetup htlog hwpe iamapp iamserv icload95 icloadnt icmon icsupp95 icsuppnt iface ifw2000 iomon98 iparmor iris isrv95 jammer jedi kavlite40eng kavpers40eng ldnetmon ldpro ldpromenu ldscan lockdown lockdown2000 luall luau lucomserver mcagent mcmnhdlr mcshield mctool mcvsrte mcvsshld mfw2en mgavrtcl mgavrte mghtml mgui minilog monitor moolive mssmmc32 mu0311ad mwatch nav80try navapsvc navapw32 navdx navlu32 navstub navw32 navwnt nc2000 ndd32 neowatchlog netarmor netinfo netmon netscanpro netspyhunter-1.2 netutils nisserv nisum nmain normist npf40_tw_98_nt_me_2k npfmessenger nprotect npssvc nsched32 ntrtscan ntvdm ntxconfig nui nvarch16 nvc95 nwservice nwtool16 ostronet outpost p spf padmin panixk pavproxy pcc2002s902 pcc2k_76_1436 pcciomon pccntmon pccwin97 pccwin98 pcscan periscope persfw pf2 pfwadmin pingscan platin pop3trap poproxy portdetective portmonitor pptbc ppvstop programauditor proport protectx purge pview95 qconsole qserver rav7 rav7win rav8win32eng realmon rescue rrguard rshell rtvscn95 rulaunch sbserv scan32 scrscan sfc sgssfw32 shn smc sofi spf sphinx spyxx ss3edit st2 supftrl supporter5 sweep95 swnetsup symproxysvc symtray taumon tauscan tca tcm tds2-98 tds2-nt tds-3 tfak tfak5 tgbob titanin titaninxp trjscan trojantrap3 v530wtbyb v95 vbcmserv vbcons vbust vbwin9x vbwinntw vet32 vet95 vettray vir-help vnlan300 vnpc3000 vpc32 vpc42 vpfw30s vptr ay vptray vsched vsecomr vshwin32 vsmain vsmon vsstat watchdog webscanx webtrap wgfe95 wimmun32 winrecon wnt wradmin wrctrl wsbgate xcommsvr xpf202en zapro zatutor zauinst zonalm2601 zonealarm * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: C:\Windows\Svchost.exe C:\Windows\System\Wbem\Wb.com C:\Windows\System\Com\Mscom32.com Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: COM Service 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Active Setup \Installed Components \{45DD0432-AA51-31EF-EEFA-06AA12E6115C} 5. Pinche en la carpeta "{45DD0432-AA51-31EF-EEFA- 06AA12E6115C}" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Dmio.A. Se propaga en un archivo llamado "Dios.exe" _____________________________________________________________ http://www.vsantivirus.com/dmio-a.htm Nombre: W32/Dmio.A Tipo: Gusano Alias: W32/Dmio.A.worm Tamaño: 40,960 bytes Origen: Perú Fecha: 6/mar/03 Fuente: HackSoft S.R.L. Lima-Perú Este gusano se propaga a través de disquetes (en A:), en un archivo llamado "Dios.exe". Este archivo muestra el icono de una conocida aplicación de animación. Si el usuario hace doble clic sobre ese archivo, el mismo se ejecuta, copiándose en la siguiente ubicación: c:\windows\system\dios.exe También crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run shell = c:\windows\system\dios.exe En forma periódica, el gusano busca un disquete en la unidad A: e intenta copiarse al mismo: A:\dios.exe También en forma aleatoria, el gusano muestra una imagen del Sagrado Corazón de Jesús con el texto "Ven a mi" y "Diosmio@peru.com" * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Para eliminar este gusano, borre el archivo "Dios.exe" de todos los discos y disquetes en que lo encuentre. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: shell 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 973 - Año 7 - Viernes 7 de marzo de 2003