| Asunto: | VSantivirus No. 974 - Año 7 - Sábado 8 de marzo de 2003 | | Fecha: | Sabado, 8 de Marzo, 2003 10:43:07 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 974 - Año 7 - Sábado 8 de marzo de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Daboom. Envío masivo, robo de información privada
2 - VBS/Krim.F. Puede formatear la unidad C
3 - W32/Sahay.B. Gusano e infector. Adjunto: "MathMagic.scr"
_____________________________________________________________
1 - W32/Daboom. Envío masivo, robo de información privada
_____________________________________________________________
http://www.vsantivirus.com/daboom.htm
Nombre: W32/Daboom
Tipo: Gusano de Internet, caballo de Troya tipo RAT
Alias: W32.HLLW.Daboom@mm,
Fecha: 7/mar/03
Tamaño: 48,128 bytes
Plataforma: Windows 32-bits
Este gusano, escrito en Visual Basic (p-code), y comprimido
con la herramienta UPX 1.20, se envía en forma masiva a todas
las direcciones que encuentre en la libreta de direcciones de
Windows (.WAB), y en los archivos .htm y .html almacenados en
el caché del Internet Explorer (páginas visitadas), dato que
obtiene de la siguiente clave del registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\Cache\Paths
El mensaje enviado posee asunto, nombre del adjunto y
contenido seleccionado al azar. El archivo adjunto siempre
tiene extensión .PIF.
Asunto (uno de los siguientes):
A mi no me gustan estas cosas
AudioGalaxy
Cartuchos HP al mejor precio
CD Home (El Mejor precio)
CD Home (The best price)
Como en la pelicula SpiderMan
Como en x-files la pelicula
Creí que ya lo habia enviado
dont read me
hacking
Hotmail Members Service
I quit!
Info
jaja se parece a tu hermana, el mejor!!!
Jajaja
Just testing my new mail
La foto esta al reves
Mailer Daemon Failure - Undeliverable mail
New on AudioGalaxy
No lo entendi
No me leas
Please dont send me more mails
Por favor no me envies más mails
RE: Porque?
RE: Que me enviastes?
RE: Why?
Renuncio!
Responde!
Sólo probaba mi nueva cuenta de mail
Te dije que era gorda. Mira!
Te lo scannee, de nada...
Texto del mensaje (seleccionado al azar de la siguiente
lista:
Opción 1:
Como te lo prometi aca te mando el protector de pantalla,
no fue fácil pero lo encontre en www.logratis.com, si
quere fijate hay un monton mñas que estan bastante buenos,
aunque este por ahora es el mejorcito que encontre.
También me baje un monton de mp3 y fondos de pantallas que
despues te los paso. Bue te mando un saludo y nos hablamos
luego.
Opción 2:
Hi, wazzzzap! Here´s the screensaver, check it out, it´s
pretty cool, i´ve downloaded it from www.download.com try
it, hit me back. Bye
Opción 3:
Hola, cómo va todo? Entre al sitio que me sugeristes y
esta muy bueno, me baje un monton de fondos de pantallas,
mp3 y protectores de pantallas, te mando uno, es el mejor
que encontre a ver que te parece. Bue te mando un saludo
nos hablamos luego.
Opción 4:
Hi , How do you do? i visited the site you suggested me
and it´s pretty cool, i already downloaded a lot of
wallpapers, mp3 and screensaver, i send you this
screensaver, it´s the best a found i hope you like.
Well i´ll call you later. Bye
Opción 5:
Qué hiciste BOLUDO???
Datos adjuntos (un archivo de 48,128 bytes, con nombre
seleccionado al azar de la siguiente lista):
Ahhhhh.jpg [espacios vacíos][espacios vacíos] .pif
Asi perdi me trabajo.jpg [espacios vacíos] .pif
aviso.doc [espacios vacíos] .pif
Bill Gate$.jpg [espacios vacíos] .pif
Bomb.jpg [espacios vacíos] .pif
Carolina.jpg [espacios vacíos] .pif
chiste.doc [espacios vacíos] .pif
Ciron.jpg [espacios vacíos] .pif
god vs evil.jpg [espacios vacíos] .pif
Hernan.jpg [espacios vacíos] .pif
horrible.jpg [espacios vacíos] .pif
Juan Pablo.jpg [espacios vacíos] .pif
Karner.jpg [espacios vacíos] .pif
La mujer perfecta.jpg [espacios vacíos] .pif
Made in Argentina.jpg [espacios vacíos] .pif
Microsoft ColdMail.jpg [espacios vacíos] .pif
mocosoft.jpg [espacios vacíos] .pif
my dicovery.jpg [espacios vacíos] .pif
Norton AntiBinladen.jpg [espacios vacíos] .pif
nota.doc [espacios vacíos] .pif
pamela la mejor.jpg [espacios vacíos] .pif
polvo.gif [espacios vacíos] .pif
powerpuff girls.jpg [espacios vacíos] .pif
Que feo.jpg [espacios vacíos] .pif
Return Castle Wolfenstein.jpg [espacios vacíos] .pif
Star Wars Episode II.jpg [espacios vacíos] .pif
tapa.pdf [espacios vacíos] .pif
the perfect woman.jpg [espacios vacíos] .pif
wuzzzzuppp.jpg [espacios vacíos] .pif
Donde dice [espacios vacíos] pueden existir hasta 200
caracteres en blanco, antes de la extensión. Esto puede
dificultar el ver la verdadera extensión del gusano, .PIF
Por ejemplo, el usuario pensará que un archivo como el
siguiente (seleccionado al azar de la lista anterior), se
trata de un archivo de imágenes:
the perfect woman.jpg
La verdadera extensión no es mostrada por el ancho de la
columna de visualización, sin embargo, el archivo es .PIF.
El .PIF viene después de casi 200 espacios... :(
Por otra parte, el adjunto puede ejecutarse con solo leer el
mensaje o al verlo en el panel de vista previa, si no se
tiene Internet Explorer actualizado a las versiones más
nuevas.
Cuando se ejecuta el archivo adjunto (.PIF con cualquier
nombre), en realidad se ejecuta el gusano.
Primero se copia a si mismo en el directorio System de
Windows:
C:\Windows\System\Systray32.exe
"C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP).
Luego, crea la siguiente clave en el registro, para
autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
ActiveDesktop = C:\Windows\System\Systray32.exe
Si el sistema operativo es Windows 95, 98 o Me, el gusano se
registra a si mismo como un servicio, quedando por lo tanto
oculto en la lista de tareas al pulsar CTRL+ALT+SUPR
El gusano posee además capacidad para actuar como caballo de
Troya de acceso remoto (RAT), lo que permite a un intruso
acceso y control total de la computadora infectada.
El componente troyano, intenta acceder al caché de las
contraseñas almacenadas en Windows. Esto incluye nombres de
usuario y contraseñas de accesos telefónicos a redes, y
muchas otras, lo que compromete seriamente la seguridad y
privacidad de la computadora infectada.
Para hacer más crítica aún la situación de la víctima, el
troyano intercepta información ingresada por el teclado
(keylogger), para enviarla al intruso.
Esto permite el robo de números de tarjetas de crédito, etc.
El troyano además, notifica al atacante vía e-mail cuando
está activo. Luego de ello, puede quedar a la espera de
comandos que el atacante puede enviar para tomar el control
de la computadora.
Otras acciones posibles:
- Envío de información crítica al atacante (contraseñas,
etc.)
- Abrir o cerrar la bandeja del CD-Rom
- Descargar y ejecutar archivos
- Modificar configuraciones del sistema infectado
- Inventario de Windows
- Borrado de archivos con extensiones .doc, wri, .eml, .htm,
.html, o .txt.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones,
luego reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre el siguiente
archivo:
C:\Windows\System\Systray32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
3. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
ActiveDesktop
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Actualizar Internet Explorer
Actualice su Internet Explorer 5.01 o 5.5 según se explica en
el siguiente artículo:
Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm
O instale el IE 6.0, Service Pack 1 (SP1):
Cómo descargar Internet Explorer 6 SP1 en español
http://www.vsantivirus.com/descarga-ie6sp1.htm
Y luego actualice su Internet Explorer como se explica aquí:
Parches para WinXP e Internet Explorer (MS03-004 y 005)
http://www.vsantivirus.com/vulms03-004-005.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - VBS/Krim.F. Puede formatear la unidad C
_____________________________________________________________
http://www.vsantivirus.com/krim-f.htm
Nombre: VBS/Krim.F
Tipo: Gusano de Visual Basic Script
Alias: VBS.Krim.F@mm, VBS/Krim.F@mm, VBS/Bloodhound@mm, I-
Worm.Zokrim@mm, VBS/Vale@mm, Bloodhound.VBS.Worm, I-
Worm.Zokrim, VBS/Vale@mm.gen
Variantes: VBS.Krim@mm, VBS.Krim.B, VBS.Krim.C,
VBS.Krim.D@mm, VBS.Krim.E@mm
Tamaños: 6,523 bytes (bat), 553 bytes (vbs), 569 bytes (vbs),
333 bytes (ini), 111 bytes (reg)
Fecha: 7/mar/03
Este gusano en Visual Basic Script (VBS), utiliza las
funciones MAPI implementadas en Outlook y Outlook Express
para propagarse por medio de mensajes infectados con su
código a todos los contactos de la libreta de direcciones del
Outlook. Es otra variante del VBS/Krim, el cuál era reportado
por primera vez hace un año.
El mensaje que el gusano utiliza para enviarse, tiene estas
características:
Variante 1:
Asunto: Mi ami ancora ???
Datos adjuntos: amore.bat (6,523 bytes)
Texto del mensaje:
Mi perdoni per quello che ti ho fatto ?? Valentina
Variante 2:
Asunto: Sto male senza di TE.
Datos adjuntos: amore.bat (6,523 bytes)
Texto del mensaje:
Ti prego dammi una risposta t.v.b. la tua Valentina
El adjunto es un archivo batch (.BAT, proceso por lotes de
MS-DOS), que cuando es abierto por el usuario mediante un
doble clic sobre él, realiza las siguientes acciones:
Crea esta carpeta:
C:\Windows\Vale
Crea los siguientes archivos:
C:\Amore.bat
C:\Mhr.vbs
C:\Windows\Vale\Amore.vbs
C:\Windows\Vale\2.vbs
C:\Windows\Vale\Zkm.reg
"C:\Mhr.vbs" y "C:\Windows\Vale\Zkm.reg" son creados con los
atributos de ocultos (+H).
Intenta modificar el registro de Windows para autoejecutarse
en próximos reinicios del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinBatload = c:\amore.bat
Renombra el archivo "C:\Windows\Command\Format.com", como
"C:\Windows\Command\Format.com".
Esto funciona solo en Windows 95, 98 y Me, en NT, 2000 y XP,
el archivo "Format.com" no se encuentra en esa carpeta.
En el caso que el archivo "amore.bat" sea borrado o
renombrado procede a formatear la unidad C: del disco al
reiniciarse la computadora. Modifica el archivo
"C:\Autoexec.bat" para que en caso de que no se encuentre
"c:\amore.bat", se ejecute el archivo "Chdisk.com", que en
realidad es el comando Format renombrado. Esta acción intenta
eludir la detección prematura de algunos antivirus.
Intenta borrar todos los archivos de la carpeta
"C:\Documents&Setting\" (Windows 2000, XP) y sus subcarpetas,
con las siguientes extensiones:
C:\Docume~1\*.exe
C:\Docume~1\*.doc
C:\Docume~1\*.xls
C:\Docume~1\*.txt
Crea el archivo "script.ini", que utiliza para controlar el
programa de chat mIRC, si este se encuentra instalado en la
computadora infectada, en alguno de los siguientes
directorios:
C:\Mirc
C:\Mirc32
C:\Program~1\Mirc
C:\Program~1\Mirc32
El gusano utiliza el archivo "C:\Windows\Vale\Amore.vbs" para
enviarse a si mismo a todos los contactos de la libreta de
direcciones del Outlook, en un mensaje con las
características ya vistas más arriba.
Finalmente, el gusano ejecuta "Mhr.vbs" para mostrar una
ventana de diálogo con el siguiente contenido:
VBScript: Valentina
by http://newmafiamirko.cjb.net
[ OK ]
* Reparación manual
Para reparar manualmente la infección provocada por este
virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros
3. Borre los archivos detectados como infectados por VBS/Krim
4. Con el Explorador de Windows, borre la carpeta "Vale" y
todo su contenido:
C:\Windows\Vale
5. Borre los siguientes archivos:
C:\Amore.bat
C:\Mhr.vbs
6. También busque y borre el archivo de configuración del
mIRC:
\Script.ini
7. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
9. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:
WinBatload
10. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Método para revisar Autoexec.bat
Esto sólo es necesario en computadoras bajo Windows 95/98 y
Me.
Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso
de autoprotección de esta versión de Windows, existe una
copia de respaldo del archivo AUTOEXEC.BAT en la carpeta
C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los
siguientes cambios. Para ello, desde el Explorador de
Windows, abra la carpeta C:\Windows\Recent, y en el panel de
la derecha, seleccione y borre Autoexec.bat. Este archivo se
regenerará como una copia del archivo que a continuación
modificaremos, al grabar los cambios hechos.
Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse OK.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de
c:\autoexec.bat
3. Borre la línea que comience con "@if not exist", etc...:
@if not exist C:\amore.bat [...siguen comandos]
4. Seleccione Archivo, Guardar, para grabar los cambios, y
luego reinicie su PC.
* Renombrando el comando FORMAT
Se aplica solo si usted tiene Windows 95, 98 o Me
1. Ejecute el Explorador de Windows
2. Seleccione el siguiente archivo:
C:\Windows\Command\Scandisk.com
No confundir con SCANDISK.EXE, que es un archivo legítimo de
Windows.
3. Pinche con el botón derecho sobre "Scandisk.com" y
seleccione "Cambiar nombre". Renómbrelo como "Format.com".
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Sahay.B. Gusano e infector. Adjunto: "MathMagic.scr"
_____________________________________________________________
http://www.vsantivirus.com/sahay-b.htm
Nombre: W32/Sahay.B (W32/MathMagic.B)
Tipo: Gusano de Internet
Alias: PE_SAHAY.B, W32/Sahay.worm.b, I-Worm.Sahay.b,
W32.Sahay.B@mm, Win32/Sahay.B@mm, Win32/Sahay.B.Worm,
Win32.Sahay.B, W32/MathMagic.B
Fecha: 8/mar/03
Tamaño: 32,768 bytes
Plataforma: Windows 32-bit
Se trata de una variante del W32/Sahay.A, pero más peligroso,
al tratarse de un gusano e infector de archivos al mismo
tiempo, con capacidad de envío masivo a través de Internet.
La versión anterior del gusano, podía también infectar
archivos, pero causaba un problema en el funcionamiento de
estos. La actual versión corrige esa falla.
El gusano está escrito en Visual C++ y comprimido con la
utilidad PE Compact.
Cuando se ejecuta el archivo que lo propaga (un "dropper"),
el gusano se copia en el raíz de la unidad C:
c:\MathMagic.scr
Para reenviarse a través de Internet vía correo electrónico,
este gusano utiliza direcciones extraídas de la libreta de
direcciones de Windows (Windows Adress Book, WAB).
El mensaje que utiliza tiene estas características:
Asunto: Fw: Sit back and be surprised..
Datos adjuntos: MathMagic.scr
Texto del mensaje:
Think of a number between 1 and 52.
Say it out loud, and keep repeating while you read on.
Think of the name of someone you know (of the opposite
sex).
Now count which place in the alphabet, the second
letter of that name has.
Add that number to the number you were thinking of.
Say the number out loud 3 times.
Now count which place in the alphabet the first letter
of your first name has, and substract that number from
the one you just had.
Say it out loud 3 times.
Now sit back, watch the attached slide show, and be
surprised..
El adjunto se copia como vimos, en el directorio raíz de la
unidad actual, y además en la carpeta de temporales de
Windows, las dos veces con el nombre "MathMagic.scr":
C:\MathMagic.scr
C:\Windows\TEMP\MathMagic.scr
También crea y ejecuta el siguiente archivo, el cuál se
encargará de la rutina de envío de mensajes:
C:\Windows\Yahasux.vbs
Este script selecciona direcciones al azar de la libreta de
Windows, y procede a enviar mensajes como el arriba
descripto. Luego del envío, este archivo es borrado.
Además de su capacidad de propagarse, esta versión infecta
todos los archivos con extensión .EXE encontrados en la
carpeta actual (donde se ejecuta el gusano), y en "C:\Program
Files\mIRC\download".
La infección la realiza agregando todo su código (32,768
bytes) al principio de los archivos infectados. Para impedir
volver a infectar los mismos archivos, el virus crea y luego
verifica la presencia de una marca ("g" en el offset 0x13h
del cabezal del .EXE).
Una característica de esta forma de infección, es que el
archivo original pierde su icono característico.
Cuando un archivo infectado es llamado, el gusano se ejecuta
primero, y luego copia el .EXE original guardado a partir del
offset 0x8000 (32,768) con el nombre de SCREWYAHA.EXE en el
directorio de Windows. Luego, el virus espera que dicho
programa finalice su ejecución para borrar el archivo
SCREWYAHA.EXE.
El gusano busca además, algunas características del virus
W32/Yaha (y sus variantes), y de encontrarlas, intenta borrar
dicho gusano, además de la clave en el registro que lo
ejecuta:
HKEY_LOCAL_MACHINE\Software\Microsoft\
CurrentVersion\Run\WinServices
Luego, el gusano intenta borrar los siguientes archivos
creados por el "YAHA.K" en el directorio Windows\System:
Be_Happy.scr
Best_Friend.scr
dance.scr
Friend_Finder.exe
Friend_Happy.scr
friendship.scr
GC_Messenger.exe
hotmail_hack.exe
I_Like_You.scr
love.scr
nav32_loader.exe
shake.scr
Sweet.scr
tcpsvs32.exe
True_Love.scr
world_of_friendship.scr
También procede a quitar los atributos de Oculto (+H),
Sistema (+S) y Archivo (+A) puestos por el YAHA en archivos
personales (Mis documentos, etc.).
También restablece la página de inicio del Internet Explorer
modificada por el YAHA, y luego muestra este mensaje:
Exchange viruses?
Hi there.. it seems you were infected with Yaha.k.
That worm however, written by an idiot who sPeLlS
lIkE tHiS,abused my website and got me toreceive
the complaints. Therefore, I have just disinfected
you.Don't worry tho.. as I didn't wanna steal from
you, I gave you this virus (Win32.HLLP.YahaSux) in
return :)
Greetz,
Gigabyte [Metaphase VX Team]
El gusano reinicia la computadora luego de esto.
El código del gusano contiene el siguiente texto, que no es
mostrado:
[Win32.HLLP.YahaSux.b] (c) 2003 Gigabyte [Metaphase VX Team]
* Reparación manual
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Nota: Los archivos sobrescritos deberán ser reinstalados o
copiados de un respaldo anterior. Sugerimos que se llame a un
servicio técnico especializado para realizar estas tareas si
no desea arriesgarse a perder información valiosa de su
computadora.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\MathMagic.scr
C:\Windows\Temp\MathMagic.scr
C:\Windows\Yahasux.vbs
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 974 - Año 7 - Sábado 8 de marzo de 2003
|
VSantivirus No. 97
Responder a este mensaje
