Mostrando mensaje 28     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 979 - Año 7 - Jueves 13 de marzo de 2003 Fecha: Jueves, 13 de Marzo, 2003  10:42:59 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 979 - Año 7 - Jueves 13 de marzo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - VBS/Prune.A. Asunto: US Goverment Material - Iraq Crisis 2 - Sea más exigente poniendo contraseñas 3 - W32/Lovgate.F. Responde correo con mensajes infectados 4 - W32/Zokrim.C. Asunto: "Your friend Morena" _____________________________________________________________ 1 - VBS/Prune.A. Asunto: US Goverment Material - Iraq Crisis _____________________________________________________________ http://www.vsantivirus.com/prune.htm Nombre: VBS/Prune.A Tipo: Gusano de Internet Alias: Prune, Iraq Crisis, UN_Interview, VBS/Prune@mm, VBS/UN_Interview@mm, VBS/Iraq_Crisis, I-worm.patzak@mm Plataforma: Windows 32-bit Fecha: 13/mar/03 Se trata de un gusano de Visual Basic Script que se propaga vía correo electrónico, mIRC y recursos compartidos en red. Cuando se ejecuta, el gusano se copia a si mismo como "UN_Interview.txt.vbs" en la carpeta de Windows: C:\Windows\UN_Interview.txt.vbs También modifica el registro para autoejecutarse en próximos reinicios de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run (Predeterminado) = C:\Windows\UN_Interview.txt.vbs "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). Luego, ejecuta tres rutinas diferentes para propagarse vía e- mail, mIRC y recursos compartidos en red. También ejecuta una rutina maligna. * Propagación vía e-mail El gusano utiliza el Outlook y Outlook Express para propagarse a todos los contactos de todas las libretas de direcciones de la máquina infectada. El mensaje que utiliza tiene estas características: Asunto: US Goverment Material - Iraq Crisis Texto del mensaje: [en blanco] Datos adjuntos: UN_Interview.txt.vbs Después del envío masivo, el gusano borra los mensajes enviados para no dejar rastros. * Propagación vía mIRC Para propagarse vía el cliente mIRC, el gusano busca el archivo SCRIPT.INI en las carpetas "C:\mIRC" y "C:\Archivos de programa\mIRC". Si lo encuentra, intenta enviar el archivo "UN_Interview.txt.vbs" a cada usuario que se una a los mismos canales de chat visitados. * Propagación por recursos compartidos El gusano escanea un rango específico de direcciones IP buscando unidades "C" compartidas. Por cada unidad encontrada el gusano mapea dicha unidad con la letra "T:" e intenta copiarse en ella como "UN_Interview.txt.vbs" en la carpeta de inicio de Windows: "C:\Windows\Menú Inicio\Programas\Inicio" en Windows 95, 98 y Me. En Windows XP y 2000 es "C:\Documents and Settings\[usuario]\Menú Inicio\Programas\Inicio" y en Windows NT "C:\WinNT\Profiles\[usuario]\Menú Inicio\Programas\Inicio". Durante esta acción el gusano crea el archivo "HCKD.txt" en donde guarda los resultados de los escaneos de direcciones IP. Las direcciones específicas usadas por el gusano pertenecen a la Universidad de Washington (USA). El gusano crea o modifica el archivo "Autoexec.bat" en el raíz de la unidad mapeada con las instrucciones para ejecutar el código del gusano. El gusano transporta en su código una imagen que libera en la carpeta TEMP (generalmente C:\Windows\TEMP) con el nombre de "Peach.jpg", y luego la muestra. [ver imagen en http://www.vsantivirus.com/prune.htm] La imagen parece ser la respuesta a un juego presentado por otro gusano, el primero de archivos PDF (ver "OUTLOOK.PDFWorm. Primer gusano del mundo en PDF ", http://www.vsantivirus.com/peachy-pdfworm.htm). * Rutina maliciosa Si la fecha del sistema es primero de cualquier mes, el gusano se copia en 39 archivos en las siguientes ubicaciones: C:\UNZIPPED C:\WINDOWS\DESKTOP Utiliza nombres diferentes para ello, por ejemplo: C:\UNZIPPED\DAMN_SOURCE.MPEG C:\WINDOWS\DESKTOP\CUNT-EAT-CUM.MP3 C:\WINDOWS\DESKTOP\www.SEX-MOVIES2.MPEG C:\WINDOWS\DESKTOP\hardcore_sex.jpg [etc.] También muestra una ventana de mensajes con el siguiente texto: VBScript: Coming from NoWhere?!.. XXX - I Love pr00n.. I want Sex - XXX [ Aceptar ] Cuando la fecha es 1, 2, 3, 4 o 5 de cada mes, el gusano intenta eliminar todos los archivos de la carpeta de instalación de Windows, Windows\System o de la unidad C:\. Cuando el día es 5, el gusano muestra otra ventana de diálogo: VBScript: PATZAK worm ver 1.0 You have been infected by Patzak Worm v1.0 / All your data has been earased! - Keyboard: Disabled / Mouse: Disabled / Data: EARASED(LOL!) [ Aceptar ] * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Borrar los archivos creados por el gusano En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: UN_Interview.txt.vbs; SCRIPT.INI 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione Todos los archivos y carpetas 3. En "Todo o parte del nombre" ingrese (o corte y pegue), lo siguiente: UN_Interview.txt.vbs; SCRIPT.INI 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la entrada: (Predeterminado) 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Sea más exigente poniendo contraseñas _____________________________________________________________ http://www.vsantivirus.com/13-03-03.htm Sea más exigente poniendo contraseñas Las contraseñas fáciles de adivinar ponen en peligro la seguridad informática Este artículo proviene de Webpanto http://www.webpanto.com La falta de imaginación que demuestran muchos usuarios cuando eligen sus contraseñas permite que cada vez más piratas o virus se metan en sus computadoras, poniendo en peligro la seguridad informática. Este problema no es nuevo, según informó EFE. Los expertos en seguridad informática dicen que un tercio de los usuarios utiliza contraseñas como el nombre de su mascota, su hijo o un plato favorito. Cualquiera de ellas es fácil de adivinar en cuestión de minutos por un pirata medianamente habilidoso. Según la empresa Symantec, cada vez más virus se valen de esta debilidad de los usuarios a la hora de elegir contraseñas sencillas y con valor sentimental para atacar los sistemas informáticos. El ejemplo más reciente lo constituye el virus llamado "Deloder", que el pasado fin de semana contribuyó a retrasar el tráfico en la red, "colándose" en más de 10.000 computadoras a partir de una serie de listas con contraseñas. De la misma manera, su antecesor más reciente, "LovGate", un gusano que apareció hace un par de semanas, también utilizó listas de contraseñas para infectar las computadoras personales, causando graves problemas en sistemas de todo el mundo. "Ya sea un gusano o una persona tratando de introducirse en una máquina, las palabras son contraseñas fáciles de adivinar", ha dicho Steve Trilling, directivo de Symantec. Este es un mal que aflige no sólo a los usuarios individuales, sino también a las compañías, incluidas las grandes corporaciones. El director de Neohapsis, Greg Shipley, ha dicho que mediante el programa "John The Ripper" (John el destripador), un favorito de los crackers, a sus técnicos les costó sólo una hora hacerse con un 30 por ciento de las contraseñas de uno de sus clientes, una gran empresa de servicios de salud que prefirió mantener en el anonimato. Shipley ha asegurado: "Prácticamente todas las compañías con las que hemos trabajado tienen un alto porcentaje de cuentas con contraseñas fácilmente identificables". Neophasis hace uso de las herramientas de los piratas para detectar los puntos débiles de su cliente. Adivinar las palabras sencillas que elige la mayoría es coser y cantar para los piratas y sus potentes programas informáticos, capaces de probar millones de combinaciones en menos de un minuto. El problema no es nuevo. Los expertos lo vienen planteando desde hace años, y ya en 1979, en la era pre-Internet, un estudio mostró cómo los usuarios elegían casi invariablemente contraseñas inadecuadas. Incluso con las prehistóricas herramientas de esos años, era sencillo dar con la palabra mágica que abría la puerta al sistema informático. * Recomendaciones para crear contraseñas Los expertos disponen de unas cuantas recomendaciones sencillas para ayudar a los usuarios incautos a elegir contraseñas algo menos populares que abracadabra. En primer lugar, recomiendan no utilizar palabras que aparezcan en el diccionario. El Webster, por ejemplo, uno de los más populares en EEUU, tiene 163.000 entradas, mientras que uno de los programas que utilizan los piratas tiene más de 200.000, e incluye lugares y nombres propios. De la misma manera, no hay que usar información personal como números de teléfono, el número del carné de identidad, fechas de nacimiento o nombres de personas cercanas. Los expertos recomiendan elegir una palabra diferente para cada sistema, como medida de precaución, así como combinaciones de números, símbolos y letras. La dirección de esta noticia es: http://www.webpanto.com/articulo.php?sid=1687 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Lovgate.F. Responde correo con mensajes infectados _____________________________________________________________ http://www.vsantivirus.com/lovgate-f.htm Nombre: W32/Lovgate.F Tipo: Gusano de Internet y caballo de Troya de acceso remoto (RAT) Alias: W32.HLLW.Lovgate.F@mm Fecha: 12/mar/03 Plataforma: Windows 32-bit Tamaño: 172,842 bytes Se trata de una variante menor del W32/Lovgate.C. La única diferencia es que esta versión no envía ningún mensaje al autor del gusano. El virus, responde en forma automática a los mensajes recibidos por la víctima infectada, agregándose él mismo como adjunto. Esto, aumenta las posibilidades de que el receptor de este mensaje abra y ejecute el adjunto, ya que pensará se trata de una respuesta legítima. LovGate posee características de caballo de Troya, junto con la posibilidad de propagarse como un gusano. Como troyano, compromete la seguridad general del sistema. El gusano crea múltiples copias de si mismo en recursos compartidos en red (carpetas y subcarpetas de todas las unidades compartidas), así como discos locales. A través del correo electrónico, se envía a si mismo como respuesta automática a todo mensaje recibido por el usuario infectado en el Outlook y Outlook Express, con el siguiente mensaje: De: [nombre del usuario infectado] Para: Asunto: RE: [asunto original] Texto: "<nombre del usuario infectado>" wrote: ============================================ > [mensaje al que se responde] > [cada línea precedida del caracter ">"] > [si el mensaje es más largo de 512 caracteres...] > [lo corta y agrega puntos suspensivos] ... ============================================ [dominio del remitente] account auto-reply: ' I'll try to reply as soon as possible. Take a look to the attachment and send me your opinion! ' > Get your FREE [dominio del remitente] account now! < El nombre del adjunto, es el mismo de alguna de las copias que intenta crear en las carpetas de los recursos compartidos. Además de esa técnica, el gusano también intenta enviarse como adjunto, a direcciones obtenidas de archivos HTML (.HT*), ubicados en cualquiera de los directorios actuales, de Windows, y Mis documentos. En estos casos, utiliza alternativamente, uno de los siguientes mensajes: Asunto: Documents Texto del mensaje: Send me your comments Datos adjuntos: Docs.exe Asunto: Roms Texto del mensaje: Test this ROM! IT ROCKS! Datos adjuntos: Roms.exe Asunto: Pr0n! Texto del mensaje: Adult content!!! Use with parental advisory. Datos adjuntos: Sex.exe Asunto: Evaluation copy Texto del mensaje: Test it 30 days for free. Datos adjuntos: Setup.exe Asunto: Help Texto del mensaje: I'm going crazy... please try to find the bug! Datos adjuntos: Source.exe Asunto: Beta Texto del mensaje: Send reply if you want to be official beta tester. Datos adjuntos: _SetupB.exe Asunto: Do not release Texto del mensaje: This is the pack ;) Datos adjuntos: Pack.exe Asunto: Last Update Texto del mensaje: This is the last cumulative update. Datos adjuntos: LUPdate.exe Asunto: The patch Texto del mensaje: I think all will work fine. Datos adjuntos: Patch.exe Asunto: Cracks! Texto del mensaje: Check our list and mail your requests! Datos adjuntos: CrkList.exe El gusano crea también, múltiples copias de si mismo en el directorio System de Windows, con alguno de los siguientes nombres: C:\Windows\System\WinRpcsrv.e C:\Windows\System\syshelp.exe C:\Windows\System\winrpc.exe C:\Windows\System\WinGate.exe C:\Windows\System\rpcsrv.exe Se agrega al registro, creando la siguiente entrada. Esto le permite autoejecutarse cada vez que Windows se reinicie: HKLM\Software\Microsoft\Windows\CurrentVersion\Run syshelp = C:\Windows\System\syshelp.exe WinGate initialize = C:\Windows\System\WinGate.exe -remoteshell Module Call initialize = RUNDLL32.EXE reg.dll ondll_reg En todos los casos, "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Luego cambia el archivo de inicio de Windows WIN.INI, alterando la entrada "Run" bajo la etiqueta "[windows]": [Windows] Run = rpcsvr.exe Además modifica las entradas por defecto en la siguiente clave del registro, de modo que se ejecuta cada vez que el usuario intenta abrir un archivo de texto haciendo doble clic sobre él (.TXT): HKEY_CLASSES_ROOT\txtfile\shell\open\command (Predeterminado) = winrpc.exe %1 En Windows NT 4.0, 2000, y XP, el gusano copia alguno de los siguientes DLL: ily.dll reg.dll task.dll 1.dll Estos archivos son todos copias similares, y son detectados como Troj/Lovgate.A. El gusano crea también un servicio llamado "Windows Management Extension" con el comando "Rundll32.exe Task.dll ondll_server". También invoca las ordenes "Rundll32.exe ily.dll ondll_install" y "Rundll32.exe ily.dll ondll_reg" para instalarse y registrarse como proceso. También crea la entrada en el registro para cargarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Module Call initialize = "RUNDLL32.EXE reg.dll ondll_reg" El virus intenta además conectarse a máquinas remotas a través de recursos IPC$, utilizando aleatoriamente las siguientes cadenas de texto para logearse como administrador: 123 321 123456 654321 guest administrator admin 111111 666666 888888 abc abcdef abcdefg 12345678 abc123 Si logra autenticarse, el gusano se copia a si mismo como STG.EXE en la carpeta \admin\system32\ de la máquina remota. Luego lanza dicho archivo como un servicio llamado "Microsoft NetWork Services FireWall" en el equipo remoto, y procede a desconectar a la computadora remota de la red cancelando la conexión actual. El gusano crea luego al menos 100 threads (hilos), de su rutina de infección (100 rutinas de infección ejecutándose en forma independiente). Genera un thread cada 200 segundos y utiliza semáforos para llevar la cuenta de números de threads creados. Luego, examina la presencia de la siguiente rama del registro: HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install Si la encuentra, entonces el gusano se copia en el directorio System de Windows con el siguiente nombre: C:\Windows\System\ssrv.exe En computadoras corriendo Windows 95, 98 y Me, el gusano esconde su presencia registrándose a si mismo como un proceso de servicio. Para ello crea un evento llamado "My I-WORM-and-IPC-20168 running!". Esto le sirve como una referencia en ejecuciones posteriores del gusano para avisarle que ya está instalado en la memoria. Además de todo lo anterior, en cada carpeta y subcarpeta compartidas, el gusano crea una copia de si mismo con los siguientes nombres: billgt.exe card.exe crklist.exe docs.exe docs.exe fun.exe hamster.exe humor.exe images.exe joke.exe LUPdate.exe midsong.exe news_doc.exe pack.exe patch.exe pics.exe PsPgame.exe roms.exe s3msong.exe searchURL.exe setup.exe sex.exe source.exe ssrv.exe stg.exe syshelp.exe tamagotxi.exe wingate.exe winrpc.exe Cuando se ejecuta el componente troyano, éste abre el puerto 10168 por defecto. Mediante comandos enviados por el intruso a través del puerto abierto, se puede obtener toda la información sensible de la computadora atacada, además de poder modificar la configuración del propio troyano. Para limpiar manualmente una computadora infectada con este gusano, siga las instrucciones que en nuestro sitio damos para la variante "C" del mismo: W32/Lovgate.C. Variante de gran propagación http://www.vsantivirus.com/lovgate-c.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Zokrim.C. Asunto: "Your friend Morena" _____________________________________________________________ http://www.vsantivirus.com/zokrim-b.htm Nombre: W32/Zokrim.C Tipo: Gusano de Internet Alias: W32.Zokrim.C@mm, Worm.W32/Zokrim.C@MM Fecha: 11/mar/03 Plataforma: Windows 32-bit Tamaño: 61,440 bytes Este gusano, escrito en Microsoft Visual Basic, se envía en forma masiva a través del correo electrónico, utilizando para ello el Microsoft Outlook y Outlook Express y su libreta de direcciones. También intenta propagarse a través de los canales de IRC. El correo electrónico tiene estas características: Asunto: Your friend Morena Datos adjuntos: Morena.exe (61,440 bytes) Texto del mensaje: Don't tell me that have forgotten of me!!! beh have put you my photo! Cuando el adjunto se ejecuta, se muestran dos ventanas, una con el siguiente mensaje: Explorer Inside error of the program [ OK ] La otra ventana: Click on my photo. [muestra un icono de morena.jpg] Luego, el gusano se copia a si mismo en el raíz de C: C:\Morena.exe Modifica el registro de Windows para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Winproxy = C:\morena.exe Crea además un script de Visual Basic (.VBS): C:\Morena.vbs Este script es usado por el gusano para su propagación vía e- mail. Envía un mensaje como el descripto antes a cada uno de los contactos de la libreta de direcciones del Outlook y Outlook Express de la máquina infectada. Finalmente crea el archivo "Script.ini" en una de las siguientes carpetas, si la carpeta existe: C:\Mirc C:\Mirc32 C:\Program Files\Mirc C:\Program Files\Mirc32 El gusano utiliza este script pata enviar una copia de si mismo a otros usuarios participantes de los mismos canales de chat que la víctima. El archivo enviado es "Morena.exe". * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: C:\Morena.exe C:\Morena.vbs Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: Winproxy 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 979 - Año 7 - Jueves 13 de marzo de 2003