Mostrando mensaje 31     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 982 - Año 7 - Domingo 16 de marzo de 2003 Fecha: Domingo, 16 de Marzo, 2003  09:38:31 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 982 - Año 7 - Domingo 16 de marzo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Vulnerabilidad en servidor HP Jetdirect 310x 2 - Un fallo crítico en Sun ONE Application Server 3 - W32/Knon.A. Datos adjuntos: "ICQ-Upgrade.exe" 4 - Troj/Backdoor.Beasty.E. Borra antivirus, acceso remoto 5 - W32/P2P.Achar. Se propaga a través del KaZaa _____________________________________________________________ 1 - Vulnerabilidad en servidor HP Jetdirect 310x _____________________________________________________________ http://www.vsantivirus.com/vul-hpjet310x.htm Aviso de seguridad: Vulnerabilidad en HP Jetdirect 310x Nombre original: Potential vulnerability in hp jetdirect 310x Fecha original: 11/mar/03 Fuente: Hewlett-Packard Aplicación vulnerable: Servidor HP Jetdirect 310x Fast Ethernet Severidad: Media Riesgo: Acceso no autorizado y denegación de servicio. Fabricante: Hewlett-Packard Company Referencia: Security Bulletin: Hpsbmi0303-002 El servidor de impresión externo HP Jetdirect 310x Fast Ethernet permite a los pequeños grupos de trabajo compartir de forma sencilla y fiable una amplia gama de impresoras HP y de otras marcas con puerto USB a través de la red y de Internet. Un potencial problema de seguridad ha sido reportado en este dispositivo por la propia empresa Hewlett-Packard. La falla puede permitir el acceso no autorizado con denegación de servicio incluida. Son afectadas las versiones de este servidor con firmware Q.24.06. La solución, es actualizarse a la versión Q.24.09 o superior. * Descarga de la actualización (incluyen instrucciones de instalación): A través del HP Download Manager http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=bpj06917 Vía Web Jetadmin http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=bpj06529 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Un fallo crítico en Sun ONE Application Server _____________________________________________________________ http://www.vsantivirus.com/vul-sun-one.htm Un fallo crítico en Sun ONE Application Server Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Sun ONE Application Server (anteriormente conocido como iPlanet Application Server) proporciona servicios de aplicaciones de nivel empresarial y servicios Web. Un fallo en este software, fabricado por Sun Microsystems, puede permitir que un atacante tome el control del sistema en forma remota, según fuera revelado este jueves por expertos de la compañía consultora en seguridad @Stake. La vulnerabilidad es en el Sun ONE Application Server, y está identificada en el módulo Connector, un plugin de Netscape para el servidor que enlaza el Sun ONE Application Server con Sun ONE Web Server. El módulo utiliza un búfer de tamaño fijo para capturar la información enviada al servidor. Si se envía una larga cadena de datos maliciosamente construida, un atacante puede llegar a sobrescribir datos vitales en el servidor, e incluso tomar el control de la computadora. Se trata de un clásico desbordamiento de búfer que afecta el stack, el espacio de memoria reservada para almacenar las direcciones de retorno en tiempo de ejecución. La empresa consultora @Stake, dice que avisó a Sun del problema, pero al no obtener respuesta, decidió hacer pública sus investigaciones y descubrimientos, para prevenir a los operadores de sitios Webs y empresas que utilicen este software, del potencial riesgo para sus sistemas. Esto da la posibilidad de que se tomen las medidas del caso a los efectos de minimizar los riesgos. La falla afecta las versiones 6.0 y 6.5 del Application Server. @Stake dice que existe un parche para la versión 6.5 que corrige este problema, pero no hay solución para la versión 6.0. Hace pocas horas, Sun afirmó que el parche para la versión 6.5 (un Service Pack), fue publicado el año pasado, cuando ya se conocía esta falla, aunque nunca fue hecha pública en ese entonces. Según Sun, un parche para la versión 6.0 nunca fue realizado por la poca cantidad de usuarios registrados que la utilizan aún. Lo que se recomienda es actualizarse a la versión 6.5 o superior. Los voceros oficiales de Sun informan además que no han habido desde ese entonces a la fecha, reporte alguno de usuarios afectados por la falla aquí descripta. * Descarga de parche para la versión 6.5 Sun ONE Application Server, Enterprise Edition 6.5 Service Pack 1 http://wwws.sun.com/software/download/products/3e3afb89.html?tag=nl (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Knon.A. Datos adjuntos: "ICQ-Upgrade.exe" _____________________________________________________________ http://www.vsantivirus.com/knon-a.htm Nombre: W32/Knon.A Tipo: Gusano de Internet Alias: W32.HLLW.Knon@mm, Bloodhound.W32.VBWORM Fecha: 14/mar/03 Plataforma: Windows 32-bit Este gusano, escrito en Microsoft Visual Basic 6, puede propagarse a través del Outlook (y Outlook Express), y del mIRC, el conocido cliente de IRC (Internet Relay Chat). Cuando el gusano se ejecuta, se copia a si mismo con los siguientes nombres y ubicaciones. Si alguno de ellos ya existiera (Regedit.exe por ejemplo), el gusano lo sobrescribe con su propio código: a:\icq-bkgrounds.scr c:\autorun.com c:\documents and settings\all users\start menu\programs\icq\icq.exe c:\icq-3d.scr c:\icq-upgrade.exe c:\program files\icq\icq.exe c:\techsounds.scr c:\windows\notepad.exe c:\windows\opme.co_ c:\windows\regedit.exe c:\windows\start menu\programs\icq\icq.exe c:\windows\system\msinet32.exe c:\windows\system32\cmd.exe También agrega el siguiente valor a la rama del registro que le permitirá autoejecutarse en próximos reinicios de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\run *inet c:\windows\system\msinet32.exe El gusano cambia la información original del usuario registrado, etc.: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion RegisteredOwner = unknown HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion RegisteredOrganization = unknown HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion ProductName = UNKNOWN-<<<moWorm>>> El gusano crea adicionalmente los siguientes archivos: c:\dnserror1.html c:\unknown.html c:\readme.doc c:\windows\escritorio\mailme.url Ninguno de esos archivos posee código malicioso. También aprovecha un descuido del usuario al configurar el mIRC, para crear un archivo llamado "c:\mirc\script.ini", con las instrucciones necesarias para propagar el virus por los canales de chat a los que se una el usuario infectado. El gusano utiliza el Outlook para enviarse vía correo electrónico a todos los contactos de la libreta de direcciones, simulando contener una actualización del software de mensajería instantánea ICQ. El mensaje enviado tiene estas características: Asunto: [destinatario]."ICQ NEEDS YOU !!! Datos adjuntos: ICQ-Upgrade.exe Texto del mensaje: ICQ FANS....!!! Get This Special Backgrounds and Designs...We spend a lot of time, Just For This...! I've also included a sound scheme for ICQ 2002, a cool 3D screensaver and a link to a site offering Phatt Sound Cuts.. enjoy.. Luego entra en un bucle sin fin copiando los siguientes archivos: C:\Windows\System_Sav\Monitor-BkUpXXXX.cpl C:\Windows\System_Sav\Program-ManagerXXXX.exe C:\Windows\System32\Systnt32\SYSTEM-SAV_NTXXXX.cpl C:\Windows\System32\Systxp32\WINDOWS-UpdateXXXX.exe Las "XXXX" representan dígitos al azar, por lo que se crean una cantidad enorme de archivos. Ejemplo: C:\Windows\System_Sav\Monitor-BkUp0876.cpl C:\Windows\System_Sav\Monitor-BkUp4152.cpl C:\Windows\System_Sav\Monitor-BkUp8723.cpl Esta situación puede hacer colgar a Windows, o al menos desestabilizarlo por la cantidad de archivos que involucra un agotamiento del espacio libre. El gusano también intentará borrar archivos con las siguientes extensiones: .bmp .doc .jpg .mp3 .rar .rtf .wav .zip Archivos con las siguientes extensiones serán sobrescritos por el código del gusano, siendo por lo tanto imposibles de reparar: .com .exe .scr * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: a:\icq-bkgrounds.scr c:\autorun.com c:\documents and settings\all users\start menu\programs\icq\icq.exe c:\icq-3d.scr c:\icq-upgrade.exe c:\program files\icq\icq.exe c:\techsounds.scr c:\windows\notepad.exe c:\windows\opme.co_ c:\windows\regedit.exe c:\windows\start menu\programs\icq\icq.exe c:\windows\system\msinet32.exe c:\windows\system32\cmd.exe c:\dnserror1.html c:\unknown.html c:\readme.doc c:\windows\escritorio\mailme.url Y las carpetas "system_sav" y "systnt32" o "Systxp32": C:\Windows\System_Sav\ C:\Windows\System32\Systnt32\ C:\Windows\System32\Systxp32\ Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Cómo recuperar REGEDIT.EXE En Windows 98: 1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter. 2. Marque "Extraer un archivo del disco de instalación" 3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar: REGEDIT.EXE 4. Pinche en "Iniciar". 5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación). 6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas). 7. Pinche en "Aceptar". 8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC"). En Windows Me: 1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. 2. Pinche en el botón "Extraer archivo" 3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar: REGEDIT.EXE 4. Pinche en "Iniciar". 5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación). 6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas). 7. Pinche en "Aceptar". 8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups"). * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: *inet 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion 5. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha, modifique los siguientes valores por los correspondientes a los del usuario registrado: RegisteredOwner (el nombre del usuario registrado) RegisteredOrganization (el nombre de la compañía) ProductName (la versión de Windows instalada) 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Backdoor.Beasty.E. Borra antivirus, acceso remoto _____________________________________________________________ http://www.vsantivirus.com/back-beasty-e.htm Nombre: Troj/Backdoor.Beasty.E Tipo: Caballo de Troya Alias: Backdoor.Plux, Troj/Backdoor.Plux Fecha: 14/mar/03 Plataforma: Windows 32-bits Tamaño: 52,224 bytes Este troyano compromete la seguridad del equipo infectado, al permitir el acceso clandestino de un intruso, que podría tomar el control total de la computadora, en forma remota. Cuando se instala, el troyano avisa al intruso mediante un mensaje de ICQ al propio centro de mensajes del atacante. Esto incluye el envío de la dirección IP de la víctima. Al ejecutarse por primera vez en una computadora, el troyano realiza las siguientes acciones: Se copia a sí mismo con los siguientes nombres de archivos: C:\Windows\Svchost.exe C:\Windows\System\Wbem\Wb.com C:\Windows\System\Com\Mscom32.com "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). El troyano crea luego la siguiente entrada en el registro: HKLM\Software\Microsoft\Active Setup\Installed Components\ {45DD0432-AA51-31EF-EEFA-06AA12E6115C}\ StubPath = C:\Windows\System\Wbem\Wb.com Para provocar su ejecución cada vez que el sistema sea reiniciado, añade a la clave del registro la siguiente entrada: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Explorer\Run COM Service = C:\Windows\System\Com\Mscom32.com Intenta finalizar los siguientes procesos, pertenecientes a conocidos antivirus y cortafuegos: _avp32 _avpcc _avpm ackwin32 advxdwin agentsvr alertsvc alogserv amon9x anti-trojan antivirus ants apimonitor aplica32 apvxdwin atcon atguard atro55en atupdater atwatch autodown autotrace avconsol avgcc32 avgctrl avgserv avgserv9 avgw avkpop avkserv avkservice avkwctl9 avp avp32 avpcc avpm avsched32 avsynmgr avwinnt avxmonitor9x avxmonitornt avxquar avxw bd_professional bidef bidserver bipcp bisp blackd blackice bootwarn borg2 bs120 cdp cfgwiz cfiadmin cfiaudit cfinet cfinet32 claw95 claw95cf clean cleaner cleaner3 cleanpc cmgrdian cmon016 connectionmonitor cpf9x206 cpfnt206 ctrl cwnb181 cwntdwmo defscangui defwatch deputy doors dpf drweb32 dvp95 dvp95_0 efpeadm ent escanh95 escanhnt escanv95 etrustcipe evpn exantivirus-cnet expert f-agnt95 fameh32 fast fch32 fih32 firewall flowprotector fnrb32 f-prot f-prot95 fp-win frw fsa fsaa fsav fsav32 fsav530stbyb fsgk32 fsm32 fsma32 fsmb32 f-stopw gbmenu gbpoll generics guard guarddog hacktracersetup htlog hwpe iamapp iamserv icload95 icloadnt icmon icsupp95 icsuppnt iface ifw2000 iomon98 iparmor iris isrv95 jammer jedi kavlite40eng kavpers40eng ldnetmon ldpro ldpromenu ldscan lockdown lockdown2000 luall luau lucomserver mcagent mcmnhdlr mcshield mctool mcvsrte mcvsshld mfw2en mgavrtcl mgavrte mghtml mgui minilog monitor moolive mssmmc32 mu0311ad mwatch nav80try navapsvc navapw32 navdx navlu32 navstub navw32 navwnt nc2000 ndd32 neowatchlog netarmor netinfo netmon netscanpro netspyhunter-1.2 netutils nisserv nisum nmain normist npf40_tw_98_nt_me_2k npfmessenger nprotect npssvc nsched32 ntrtscan ntvdm ntxconfig nui nvarch16 nvc95 nwservice nwtool16 ostronet outpost p spf padmin panixk pavproxy pcc2002s902 pcc2k_76_1436 pcciomon pccntmon pccwin97 pccwin98 pcscan periscope persfw pf2 pfwadmin pingscan platin pop3trap poproxy portdetective portmonitor pptbc ppvstop programauditor proport protectx purge pview95 qconsole qserver rav7 rav7win rav8win32eng realmon rescue rrguard rshell rtvscn95 rulaunch sbserv scan32 scrscan sfc sgssfw32 shn smc sofi spf sphinx spyxx ss3edit st2 supftrl supporter5 sweep95 swnetsup symproxysvc symtray taumon tauscan tca tcm tds2-98 tds2-nt tds-3 tfak tfak5 tgbob titanin titaninxp trjscan trojantrap3 v530wtbyb v95 vbcmserv vbcons vbust vbwin9x vbwinntw vet32 vet95 vettray vir-help vnlan300 vnpc3000 vpc32 vpc42 vpfw30s vptr ay vptray vsched vsecomr vshwin32 vsmain vsmon vsstat watchdog webscanx webtrap wgfe95 wimmun32 winrecon wnt wradmin wrctrl wsbgate xcommsvr xpf202en zapro zatutor zauinst zonalm2601 zonealarm * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados *Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: C:\Windows\Svchost.exe C:\Windows\System\Wbem\Wb.com C:\Windows\System\Com\Mscom32.com Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: COM Service 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Active Setup \Installed Components \{45DD0432-AA51-31EF-EEFA-06AA12E6115C} 5. Pinche en la carpeta "{45DD0432-AA51-31EF-EEFA- 06AA12E6115C}" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/P2P.Achar. Se propaga a través del KaZaa _____________________________________________________________ http://www.vsantivirus.com/p2p-achar.htm Nombre: W32/P2P.Achar Tipo: Gusano de Internet (P2P) Alias: Worm.P2P.Achar Fecha: 3/mar/03 Tamaño: 8 Kb aprox. Se trata de una familia de gusanos que solo se replican utilizando las redes de intercambio entre usuarios P2P (Peer- To-Peer), de par a par, o sea de computadora a computadora. El Achar utiliza el KaZaa, copiándose en la carpeta compartida de esta aplicación. El gusano es un archivo en formato PE (Portable Executable de Windows 32-bit, escrito en assembler (por ello su pequeño tamaño, solo unos 8 Kb). El gusano no se instala de ninguna otra manera en el sistema. Para infectar la carpeta del KaZaa, el gusano lee su nombre en el registro y se copia con los siguientes nombres en dicha carpeta: \Crack McAfee 7.exe \Crack Norton 3000.exe \Borland KeyGens.exe \MP3 encoder_decoderV1.8.exe \HackNTTools.zip .exe \SophosCrackAllVersion.exe \BitDefender.KeyGen.exe \Nod32Crack.exe \PANDA.lusers.exe \PANDA.AVers.lusers.exe Note los espacios entre las extensiones .ZIP y la verdadera .EXE en el ejemplo anterior, cuya intención es hacernos creer se trata de un archivo zipeado (.ZIP). Al hacer doble clic sobre ese archivo, al ser en realidad un .EXE (ejecutable), se activa el virus. El gusano intenta también copiarse a si mismo con el nombre de "CUCARACHA.exe" en las carpetas de inicio de computadoras remotas, pero falla por un error en su código. El gusano posee este texto en su código: -/Cucaracha\- Programado por ErGrone * SANTIAGO DE CHILE * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 982 - Año 7 - Domingo 16 de marzo de 2003