|
Mostrando mensaje 248
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1199 Año 7, Domingo 19 de octubre de 2003 | | Fecha: | Domingo, 19 de Octubre, 2003 02:49:21 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1199 Año 7, Domingo 19 de octubre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Crecen los productos para espionaje de empleados
2 - Troj/Mafia.A. Se disfraza como un archivo comprimido
3 - W32/Randex.I. Se propaga por redes, se controla por IRC
4 - W32/Cesca.A. Se propaga a través de disquetes
5 - W32/Gaobot.AZ. Peligroso gusano y caballo de Troya
_____________________________________________________________
1 - Crecen los productos para espionaje de empleados
_____________________________________________________________
http://www.vsantivirus.com/mm-espionaje-empleos.htm
Crecen los productos para espionaje de empleados
El 40% de empresas monitorizan de algún modo a sus
trabajadores, en Europa y Estados Unidos
Por Mercè Molist (*)
colaboradores@videosoft.net.uy
La monitorización es algo cada vez más frecuente en Internet.
Empresas y proveedores analizan el correo de sus usuarios
para prevenir virus y "spam". Algunos programas instalan
código adicional que espía con propósitos comerciales. Los
administradores de sistemas monitorizan el tráfico en sus
redes para comprobar que todo funciona. Los padres escudriñan
los pasos cibernéticos de sus hijos. Y las empresas usan cada
vez más estos programas para saber a qué se dedican sus
trabajadores.
Hace diez años, la monitorización en las empresas era
exclusiva de los administradores informáticos, que usaban
herramientas del sistema operativo Unix para vigilar el
tráfico a efectos técnicos. Mientras, en el mundo Windows,
nacían los primeros filtros parentales, como CyberPatrol, que
bloqueaban el acceso a los sitios que los niños no debían
visitar. Hoy, los filtros han ampliado el mercado a
bibliotecas y, especialmente, empresas, diversificando las
posibilidades de sus productos, que ya no sólo filtran sino
que espían abiertamente la vida internáutica de los
empleados.
Según un reciente estudio de Pricewaterhouse y la Universidad
de Navarra, una de cada diez empresas españolas ha sancionado
al menos a un empleado por utilizar Internet de forma
"indebida" y el 3% ha despedido a alguien. En Europa, según
Datamonitor, dos de cada tres empresas filtran el uso de
Internet de sus trabajadores. El 40%, sistemáticamente. En
Estados Unidos, la American Management Association (AMA)
asegura también que el 40% de empresas espían el correo de
los trabajadores y una de cada cinco ha despedido a alguno
por abusar de los recursos informáticos. Desde 2001, según la
AMA, el control empresarial se ha duplicado.
La pionera empresa WinWhatWhere comercializa "Investigator",
un programa que se instala en el ordenador del empleado y
captura todos los movimientos del teclado, mostrando a
distancia lo que hay en la pantalla, la navegación web,
correo, mensajería instantánea y chat, con una función
especial para no ser descubierto. Según cuenta la empresa, el
FBI utilizó "Investigator", el año pasado, en la
investigación y detención de dos rusos que habían robado
miles de números de tarjetas en eBay. Los federales
instalaron subrepticia y remotamente este programa en el
ordenador de uno de los rusos.
Pero las "estrellas del control" del momento son Spector y
eBlaster, ambos de la misma compañía, SpectorSoft. El primero
permite filtrar y grabar el contenido del correo, chat,
mensajería instantánea, navegación web, teclado y pantalla.
Cuando hay algún movimiento no permitido en el ordenador, el
programa avisa por correo electrónico al espía. Con los datos
recogidos, como sitios web más frecuentados o tiempo de
visita, elabora todo tipo de estadísticas.
EBlaster es más de lo mismo, con dos funciones añadidas:
envía copia de todos los mensajes enviados por el empleado y
no es necesario estar en el ordenador de la víctima para
instalarlo, puede hacerse remotamente: se le envía un
mensaje, con el programa adjunto, y se le convence para que
lo ejecute. La aparición de este "troyano" comercial ha
alertado a la comunidad de seguridad porque, aunque ya
existen programas de este tipo para Windows, como el gratuito
Back Orifice, su popularización comercial hace temer un
aumento de su uso entre delincuentes, además del
aprovechamiento del agujero que deja abierto, por parte de
intrusos ajenos a la empresa.
El-Espía no tiene este problema. Es el único programa
comercial de monitorización para Windows hecho desde España,
según su autor, Josep Llobet, un leridano de 45 años: "El-
Espía permite la monitorización remota en una red de área
local, pero no desde Internet, para evitar entradas de
terceros". Llobet creó El-Espía hace tres años y hoy se
comercializa en Estados Unidos con el nombre de SALUS y, en
Holanda y Portugal, como "BigBrother is Watching you!".
Cuesta 42 euros y lo compran padres y empresas: "Lo quieren
para casos puntuales. Lo que más se consulta es la actividad
general y el acceso a páginas web".
El-Espía captura golpes de tecla, aplicaciones usadas, inicio
y fin de conexiones a Internet, páginas visitadas, claves...
Según Llobet, "facilita el acceso a determinada información a
usuarios muy poco especializados que, de otra forma, un
informático experto podría rastrear". La mayoría de programas
de este tipo aúnan dos formas de espionaje: el "keylogging" y
la administración remota. Los "keyloggers" capturan lo que
sale por la pantalla, lo que se envía a la impresora, lo que
se teclea... Hay muchos, como 2Spy!, PC Activity Monitor Net,
STARR Pro, ProBot SE o Spy Agent. Los administradores remotos
toman el control total del ordenador, como Radmin o el
programa libre multiplataforma, Virtual Network Computing
(VNC).
Hay también programas espía que no se instalan en el
ordenador del empleado sino en los servidores de la empresa.
Es el caso de Websense, líder en este campo, que filtra y
monitoriza todo el tráfico web. Entre sus 18.500 clientes, el
Banco de España, Banco Santander, la revista "Newsweek", las
sopas Campbell, Coca-Cola, Toys R Us o General Electric.
Stealth Email Redirector es otro ejemplo: reenvía a la
dirección que se le indique todos los mensajes que pasan a
través del servidor de correo. WebMail hace lo mismo con el
correo por web. Win Sniffer captura las contraseñas.
A pesar del crecimiento de estos programas en el entorno
Windows, los administradores de sistemas y usuarios de
'software' libre no se muestran impresionados: "No hace falta
tanta parafernalia para saber qué hace un empleado. A nivel
de servidor, con los programas libres se puede hacer de todo:
ver el correo, las webs, cuando entra y sale del sistema...
No hay que hacer nada especial, sólo configurar alguna opción
del servidor. A nivel del equipo de trabajo, si se ha
instalado administración remota segura (SSH), el
administrador puede entrar en el ordenador y ver qué se está
ejecutando", afirma Celso González.
"Están también las herramientas libres ethereal y etercap.
Éste último acepta 'plugins' y puede rastrear 'passwords',
interceptar 'mails', conversaciones de chat e incluso
interceptarlas al vuelo y modificarlas o añadir paquetes.
Además de romper comunicaciones cifradas. En administración
remota, lo que quieras en Linux, es ideal para esto", añade
Aritz Beraza, quien recomienda Snort y Tripwire para combatir
los programas espía.
Estos "anti-espías" proliferan también en el mundo Windows,
con nombres como Spy Sweeper, PestPatrol, SpyCop, Ad-aware,
The Cleaner, SpywareBlaster o Anti-keylogger. Explica Flynn
Kobe: "Detectan a muchos bichitos, pero no a todos. Si un
jefe espía a un empleado, no hay ninguna defensa, a no ser
que la persona espiada sea una experta. Los anonimizadores de
la navegación no sirven para nada, si te espían a nivel de
oficina, y el único 'webmail' inmune es Hushmail, que
encripta todas las comunicaciones". Añade Celso González:
"Sólo el cifrado es capaz de evitar que vean lo que estás
haciendo, eso sí, seguirán sabiendo que haces algo, aunque no
sepan el qué".
Juan Luis Podadera, autor del detector de espías SpyHunter,
explica que "la monitorización en el trabajo es algo duro de
combatir, ya que el ordenador es del empresario y no del
usuario, que tiene limitados los programas que puede ejecutar
o modificar. Peor si la monitorización se hace desde un
servidor "proxy". Salvo cifrar la comunicación, no hay muchas
alternativas. Además, los antivirus detectan una cantidad
limitada de espías y sólo los que se encuentran gratuitamente
por Internet. Nunca he visto que detecten un programa
comercial".
Aunque la mayoría de programas espía se delatan por la huella
que dejan en el registro de Windows, para arrancar
automáticamente, Podadera niega que siempre sea así: "Los hay
que no arrancan desde el registro, como Invisible Keylogger
Stealth. Otros sólo arrancan cuando lo hace el navegador
Internet Explorer, como los sistemas publicitarios que crean
un perfil del usuario". De todas formas, dice el experto en
virus Wintermute, "no hay nada indetectable al 100%, siempre
va a existir un autómata capaz de descubrirlo. En programas
detectores de intrusiones, existen técnicas para descubrir
procesos que no hayan sido usados antes, uso de puertos y
conexiones no habituales, uso excesivo de la CPU.. de modo
que podrías ver un funcionamiento raro por estadística".
Instalar un "keylogger" y un administrador remoto en el
ordenador de un empleado, sin dejar rastros, son seis horas
de trabajo. Cuatro o cinco horas cada quince días, para
revisar los datos monitorizados.
* ¿Es legal?
En pocos países existen leyes especiales para la
monitorización empresarial. Mientras, aumentan los despidos
por uso indebido de Internet y las denuncias de los empleados
que han visto invadida su intimidad. En España, ha habido
sentencias para todos los gustos, pero la tendencia es a
seguir el Código Penal, que asegura el secreto de las
comunicaciones, y las directrices de la Unión Europea, que
consideran legal el espionaje si no hay alternativa, se tiene
un fin legítimo, el empleado sabe que se le espía, los datos
controlados no son excesivos y no se monitoriza de forma
generalizada a toda la plantilla.
Para el abogado Carlos Sánchez Almeida, "la clave del debate
está en el contenido de los mensajes. Se puede monitorizar el
uso de Internet, la navegación, el volumen de correo y las
cabeceras. Pero el contenido es privado y cogerlo sin orden
judicial es un delito, como pinchar un teléfono". Otro punto
importante es que el empleado sepa que espiarle entra en las
normas de la empresa. Según PriceWaterHouse, sólo el 38,5% de
empresas españolas tienen un protocolo sobre este tema. En
Estados Unidos, la creación de políticas empresariales sobre
monitorización está estancada en el 34% desde 2001, según la
AMA.
Gran Bretaña, pionera en el espionaje de empleados, ha sido
también el primer país europeo que ha salido en defensa de la
privacidad en horas de trabajo. El pasado junio, el
Comisionado de la Información publicaba un código para
empresas, donde se les prohibe espiar a un trabajador sin su
consentimiento, excepto en casos criminales o prácticas
inadecuadas. A finales de junio, el Ministerio de Trabajo
finlandés publicó un borrador sobre la protección de la
privacidad en el trabajo, muy criticado porque, aunque regula
la videovigilancia, permite que la empresa mire el correo de
empleados que estén enfermos o de vacaciones.
* Relacionados:
El-Espía
http://www.el-espia.net
Stelh Email Redirector
http://www.softsecurity.com/ser.html
Email Monitoring
http://www.email-software.org/email-monitoring-software.htm
ExploreAnywhere
http://www.exploreanywhere.com
Win Sniffer
http://www.winsniffer.com
Websense
http://www.websense.com
WinWhatWhere
http://www.winwhatwhere.com
SpectorSoft
http://www.spectorsoft.com
Ettercap
http://ettercap.sourceforge.net
Snort
http://www.snort.org
Tripwire
http://www.tripwire.com
Keylogger.org
http://www.keylogger.org
N2H2
http://www.n2h2.com
Vericept
http://www.vericept.com
Internet Safety
http://www.internetsafetysoftware.com
2Spy!
http://www.zoranjuric.com
MIMEsweeper
http://www.mimesweeper.com
Internet Manager
http://www.elronsw.com
Radmin
http://www.radmin.com
Virtual Network Computing
http://www.uk.research.att.com/vnc/index.html
Anti-keyloggers
http://www.anti-keyloggers.com
WebRoot
http://www.webroot.com/wb/index.php
PestPatrol
http://www.sunbelt-software.com/product.cfm?id=911
SpyCop
http://www.spycop.com
LavaSoft
http://www.lavasoft.de
The Cleaner
http://www.moosoft.com/thecleaner
SpywareBlaster
http://www.vsantivirus.com/spywareblaster.htm
Spyware Info
http://www.spywareinfo.com
"La intimidad electrónica en el trabajo"
http://www.kriptopolis.com/more.php?id=15_0_1_4_M7
Manifiesto pro-intimidad electrónica
http://social.internautas.org/sections.php?op=viewarticle&artid=1
(*) Copyright (C) 2003 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any medium, provided this notice is
preserved.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Troj/Mafia.A. Se disfraza como un archivo comprimido
_____________________________________________________________
http://www.vsantivirus.com/troj-mafia-a.htm
Nombre: Troj/Mafia.A
Tipo: Caballo de Troya
Alias: Manda.A, Win32.Manda.A, PWSteal.Salira, Mafia.A,
Trj/Mafia.A, PWS-Mafia, Trojan.PSW.Bumaf
Fecha: 13/oct/03
Tamaño: 63,488 bytes, 35,072 bytes (RAR)
Reportado por: BitDefender
Este caballo de Troya, escrito en Visual C++, pretende robar
las contraseñas y otros datos del usuario del equipo
infectado. Fue comentado en el siguiente artículo:
Virus incluido en subtítulos de películas
http://www.vsantivirus.com/18-10-03.htm
El troyano obtiene y envía por correo electrónico, el nombre
de usuario y las claves de acceso a cuentas de correo de
Outlook Express en todos los sistemas, y las contraseñas
guardadas en la memoria caché de equipos con Windows NT,
2000, XP y Server 2003.
También obtiene información de los discos duros, memoria
instalada, sistema operativo, procesador, etc.
Se disfraza como un supuesto archivo comprimido con la
herramienta WinRAR, cuando en realidad es un ejecutable en
formato Win32 PE (Portable Executable).
Las primeras muestras llegaron en un archivo llamado
SUBTITLES.EXE dentro de un archivo RAR con el siguiente
nombre:
KillBill2003-Danish[Xsubt.com][8853385601].rar
Otras muestras tienen nombres similares. El archivo en su
interior, simula contener subtítulos para la película "Kill
Bill" de Quentin Tarantino, recientemente estrenada. Tiene la
información de su cabecera (header), hábilmente modificada
para poder disfrazarse de ese modo. Esto puede hacer que el
archivo se abra en una vista de carpeta.
Usualmente, el troyano posee extensión .RAR y el icono de un
archivo RAR autoextraíble.
Cuando se ejecuta, se copia en la siguiente ubicación:
c:\windows\system\winrarshell32.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "c:\winnt\system32" en Windows NT/2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
También crea este archivo en el mismo directorio en que se
ejecuta, y en el cuál almacena las contraseñas y demás datos
robados:
system31.bug
Agrega la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winrarshell = c:\windows\system\winrarshell32.exe TUVWXYZ
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
winrarshell = c:\windows\system\winrarshell32.exe TUVWXYZ
Además, agrega o modifica las siguientes entradas, con la
intención de facilitar la obtención de contraseñas y otros
datos:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\explorer\AutoComplete
Use AutoComplete = yes
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main
FormSuggest Passwords = yes
Use FormSuggest = yes
HKU\.DEFAULT\Software\BGM
El troyano busca los nombres de usuario y sus contraseñas en
varias carpetas del sistema, por ejemplo:
c:\Documents and Settings\*
c:\Documents and Settings\[usuario]\cookies\*
c:\windows\cookies\*
Y también en la siguiente rama del registro:
HKU\.DEFAULT\SOFTWARE\Microsoft
\Internet Account Manager\Account
El mensaje con la información robada, es enviado a una
dirección en Rumania, al dominio as.ro, y usando el SMTP
smtp.as.ro como servidor.
El mismo tiene estas características:
De: BUG_Mafia@as.ro
Para: mandaril@as.ro
Asunto:#2.02dev
X-Mailer: bugmafia v2.02dev
MIME-Version: 1.0
Content-Type: multipart/mixed;
El troyano comprueba la versión del sistema operativo en que
se está ejecutando, ya que de acuerdo a éste, utilizará
diferentes funciones de acceso a recursos de red y librerías
dinámicas. Además, puede incluir su código en algunos
procesos activos del equipo infectado.
Para no ejecutarse más de una vez en memoria, el troyano crea
un mutex llamado BUGMAFIAMUTEX.
No posee rutina de propagación, pero un archivo infectado
podría ser enviado en forma premeditada o accidental, por
correo electrónico, o descargada de sitios maliciosos, o a
través de redes P2P.
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\winrarshell32.exe
c:\windows\system\system31.bug
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
winrarshell
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
winrarshell
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\explorer
\AutoComplete
7. Pinche en la carpeta "AutoComplete" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Use AutoComplete
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Internet Explorer
\Main
9. Pinche en la carpeta "Main" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las siguientes
entradas:
FormSuggest Passwords
Use FormSuggest
10. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\BGM
11. Pinche en la carpeta "BGM" y bórrela.
12. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* IMPORTANTE
Cambie todas sus contraseñas, incluso la de otros usuarios a
los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles datos robados por el gusano.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Randex.I. Se propaga por redes, se controla por IRC
_____________________________________________________________
http://www.vsantivirus.com/randex-i.htm
Nombre: W32/Randex.I
Tipo: Gusano de Internet
Alias: W32/Randex-I, W32/Sdbot.worm.gen.b, Win32/Randex.J,
W32.Randex.F, WORM_RANDEX.F
Tamaño: 39,424 bytes
Plataforma: Windows 32-bit
Fecha: 17/oct/03
Este gusano se propaga a través de redes, copiándose a si
mismo en los siguientes caminos:
\Admin$\system32\msnv32.exe
\c$\winnt\system32\msnv32.exe
Tiene capacidades de troyano, y puede recibir instrucciones
desde un canal de IRC (Internet Relay Chat) específico. Una
de esas instrucciones es la que ocasiona la propagación a
través de los recursos mencionados.
Cuando se ejecuta por primera vez, se copia en la siguiente
ubicación:
c:\windows\System\msnv32.exe
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
Un usuario remoto puede realizar las siguientes acciones:
1. NTSCAN: calcula direcciones IP al azar para seleccionar la
computadora a infectar.
Intenta autenticarse en cada dirección IP creada, usando
diferentes contraseñas.
Luego se copia a si mismo en las computadoras cuyas
contraseñas de administrador sean débiles en la siguiente
ubicación, donde [IP] es la dirección IP autenticada:
\\[IP]\Admin$\system32\msnv32.exe
\\[IP]\c$\winnt\system32\msnv32.exe
2. SYN: Realiza ataques del tipo "syn flood" utilizando
paquetes SYN de 55808 bytes.
3. SYSINFO: Obtiene información de su víctima, tales como
velocidad de la CPU, memoria disponible, etc.
También intenta robar las llaves de registro de algunos
conocidos juegos.
Para ejecutar el gusano, crea una tarea programada, y también
agrega las siguientes entradas en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Microsoft Netview Component v5.1" =
c:\windows\System\msnv32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"Microsoft Netview Component v5.1" =
c:\windows\System\msnv32.exe
Finalmente se conecta a un canal de IRC específico para
recibir instrucciones remotas. Entre ellas las que le
permiten propagarse a otros recursos compartidos como vimos
al principio.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrar los archivos creados por el gusano.
* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
msnv32.exe; winnt32.dat
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), lo siguiente:
msnv32.exe; winnt32.dat
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Microsoft Netview Component v5.1
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Microsoft Netview Component v5.1
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Cesca.A. Se propaga a través de disquetes
_____________________________________________________________
http://www.vsantivirus.com/cesca-a.htm
Nombre: W32/Cesca.A
Tipo: Virus
Alias: W32.Cesca
Fecha: 16/oct/03
Plataforma: Windows 32-bit
Tamaño: 61,440 bytes
Reportado por: Symantec
Este virus se propaga a través de disquetes. Cuando se
ejecuta, en forma periódica se copia a si mismo a cualquier
disquete disponible para escritura, que estuviera presente en
la unidad A.
Utiliza diferentes nombres, todos ellos presentes en una
lista almacenada en su propio código:
a:\avril lavigne.exe
a:\cartas.exe
a:\codific_visual.exe
a:\documentomercantil9.exe
a:\lennon.exe
a:\macros.exe
a:\melisa.exe
a:\morfeo.exe
a:\neo.exe
a:\pamela.exe
a:\practicaiii.exe
a:\trinity.exe
Además, se copia en las siguientes ubicaciones, para
autoejecutarse en cada reinicio del sistema infectado:
c:\archivos de programa\microsoft office
\office\winword.exe
c:\archivos de programa\microsoft office
\office10\winword.exe
c:\documents and settings\all users\menú inicio
\programas\inicio\systems.exe
c:\windows\menú inicio\programas\inicio\systems.exe
c:\windows\system\normal.exe
El camino y nombre de los archivos están en su código, y
algunas de estas ubicaciones, solo se hayan presentes en las
versiones en español de Windows.
No realiza ninguna otra acción.
No posee rutina de propagación, pero un archivo infectado
podría ser enviado en forma premeditada o accidental, por
correo electrónico, o descargada de sitios maliciosos, o a
través de redes P2P.
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\archivos de programa\microsoft office
\office\winword.exe
c:\archivos de programa\microsoft office
\office10\winword.exe
c:\documents and settings\all users\menú inicio
\programas\inicio\systems.exe
c:\windows\menú inicio\programas\inicio\systems.exe
c:\windows\system\normal.exe
Y en sus disquetes, borre todos los archivos con los
siguientes nombres:
avril lavigne.exe
cartas.exe
codific_visual.exe
documentomercantil9.exe
lennon.exe
macros.exe
melisa.exe
morfeo.exe
neo.exe
pamela.exe
practicaiii.exe
trinity.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Gaobot.AZ. Peligroso gusano y caballo de Troya
_____________________________________________________________
http://www.vsantivirus.com/gaobot-az.htm
Nombre: W32/Gaobot.AZ
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.HLLW.Gaobot.AZ, W32/Gaobot.worm.gen.b
Variantes: W32.HLLW.Gaobot.AA, W32.HLLW.Gaobot.AE,
W32.HLLW.Gaobot.AF, W32.HLLW.Gaobot.AG, W32.HLLW.Gaobot.AN,
W32.HLLW.Gaobot.AO, W32.HLLW.Gaobot.AP
Fecha: 16/oct/03
Plataforma: Windows 32-bit
Tamaño: 206,336 bytes
Puertos: TCP/135, TCP/445, TCP/80
Es una variante menor de W32/Gaobot.AP. Gusano comprimido con
la utilidad UPX, que se propaga a través de redes
compartidas, con contraseñas débiles (por defecto, pocos
caracteres, etc.).
Se aprovecha de múltiples vulnerabilidades:
Vulnerabilidad RPC/DCOM (MS03-026)
http://www.vsantivirus.com/vulms03-026-027-028.htm
Vulnerabilidad en el Servicio Localizador (MS03-001)
http://www.vsantivirus.com/vulms03-001-002-003.htm
Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htm
La primera (MS03-026), es la misma falla de la que se
aprovecha el Lovsan (Blaster) y otros. Utiliza el puerto
TCP/135. La falla se produce por un desbordamiento de búfer
en la interface RPC (Remote Procedure Call) que permite la
ejecución arbitraria de código. El parche existe desde julio
de 2003.
La segunda (MS03-001), cuyo parche está disponible desde
enero de 2003, es explotada a través del puerto TCP/445. La
falla ocurre en el sistema localizador RPC (Remote Procedure
Call).
En ambos casos, un cortafuegos puede impedir la propagación.
La tercera falla (MS03-007), es un desbordamiento de búfer
existente en la librería "ntdll.dll" utilizada por el
componente WebDAV de Microsoft IIS 5.0, que permite que al
enviar una solicitud al servidor, un intruso puede ser capaz
de ejecutar código arbitrariamente en el contexto de
seguridad local, menos crítico, dándole al atacante el
control completo sobre el sistema.
Con este gusano, un intruso pueda acceder en forma remota a
la computadora infectada, a través del IRC.
Al ejecutarse se copia en el siguiente archivo:
c:\windows\system\iexplorer.exe
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
Crea las siguientes entradas en el registro, para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows Backup Configuration = iexplorer.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows Backup Configuration = iexplorer.exe
Una vez en memoria, abre un puerto TCP para conectarse con un
usuario remoto, a través de un canal de IRC (Internet Relay
Chat). Utiliza su propio cliente IRC, por lo que no importa
que no se tenga instalado ninguno.
Queda a la espera de las instrucciones que le permitirán
realizar alguna de la siguientes acciones:
º Administrar la instalación del propio gusano
º Actualizar dinámicamente su propio código
º Descargar y ejecutar archivos
º Robar información confidencial
º Enviar el gusano a otros canales de IRC
º Agregar cuentas nuevas en las computadoras infectadas
Envía los datos necesarios al puerto TCP/135, para sacar
provecho de la vulnerabilidad RPC/DCOM como el Blaster. En
ocasiones, hace lo mismo pero con el puerto TCP/445, para
aprovecharse de la segunda de las vulnerabilidades y
indicadas (MS03-001).
Prueba el acceso a los siguientes recursos:
admin$
print$
Examina recursos administrativos, utilizando la siguiente
combinación de nombres de usuario y contraseñas:
Usuarios:
aaa
abc
Admin
admin
Administrador
Administrateu
administrator
Administrator
asdf
Default
Dell
Gast
Guest
home
Inviter
mgmt
Owner
qwer
Standard
temp
test
Test
User
win
xyz
Contraseñas:
000000
00000000
007
110
111
111111
11111111
121212
123
123123
1234
12345
123456
1234567
12345678
123456789
1234qwer
123abc
123asd
123qwe
2002
2600
54321
654321
88888888
abcd
alpha
computer
database
enable
foobar
god
godblessyou
ihavenopass
Internet
Login
love
mypass
mypc
oracle
owner
pass
passwd
Password
password
pat
patrick
pwd
root
secret
server
sex
super
sybase
xxx
yxcv
zxcv
Si logra acceder a las computadoras remotas, se copia en
ellas y reinicia el mismo método de infección.
También intenta apoderarse de las claves de CD de los
siguientes juegos:
Battlefield 1942
Battlefield 1942 Secret Weapons of WWII
Battlefield 1942 The Road to Rome
Command & Conquer Generals
Counter-Strike
FIFA 2002
FIFA 2003
Half-Life
Legends of Might and Magic
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Neverwinter
NHL 2002
NHL 2003
Project IGI 2
Rainbow Six III RavenShield
Red Alert
Red Alert 2
Soldier of Fortune II - Double Helix
The Gladiators
Tiberian Sun
Unreal Tournament 2003
Westwood\Nox
Examina los procesos activos, y si algunos de estos coincide
con estos nombres, los finaliza (corresponden a conocidos
antivirus y cortafuegos):
_avp32.exe
_avpcc.exe
_avpm.exe
ackwin32.exe
anti-trojan.exe
apvxdwin.exe
autodown.exe
avconsol.exe
ave32.exe
avgctrl.exe
avkserv.exe
avnt.exe
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avptc32.exe
avpupd.exe
avsched32.exe
avwin95.exe
avwupd32.exe
blackd.exe
blackice.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
claw95.exe
claw95cf.exe
cleaner.exe
cleaner3.exe
dvp95.exe
dvp95_0.exe
ecengine.exe
esafe.exe
espwatch.exe
f-agnt95.exe
findviru.exe
f-prot.exe
fprot.exe
f-prot95.exe
fp-win.exe
frw.exe
f-stopw.exe
iamapp.exe
iamserv.exe
ibmasn.exe
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icsupp95.exe
icsuppnt.exe
iface.exe
iomon98.exe
jedi.exe
lockdown2000.exe
lookout.exe
luall.exe
moolive.exe
mpftray.exe
n32scanw.exe
navapw32.exe
navlu32.exe
navnt.exe
navw32.exe
navwnt.exe
nisum.exe
nmain.exe
normist.exe
nupgrade.exe
nvc95.exe
outpost.exe
padmin.exe
pavcl.exe
pavsched.exe
pavw.exe
pccwin98.exe
pcfwallicon.exe
persfw.exe
rav7.exe
rav7win.exe
rescue.exe
safeweb.exe
scan32.exe
scan95.exe
scanpm.exe
scrscan.exe
serv95.exe
smc.exe
sphinx.exe
sweep95.exe
tbscan.exe
tca.exe
tds2-98.exe
tds2-nt.exe
vet95.exe
vettray.exe
vscan40.exe
vsecomr.exe
vshwin32.exe
vsstat.exe
webscanx.exe
wfindv32.exe
zonealarm.exe
También intenta eliminar los siguientes procesos, que
corresponden a otros gusanos:
dllhost.exe
msblast.exe
mspatch.exe
penis32.exe
scvhosl.exe
tftpd.exe
winhlpp32.exe
winppr32.exe
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre el siguiente
archivo:
c:\windows\system\iexplorer.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Windows Backup Configuration
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Windows Backup Configuration
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Vulnerabilidad en RPC (Remote Procedure Call)
Este troyano se aprovecha de un desbordamiento de búfer en la
interface RPC (Remote Procedure Call) que permite la
ejecución arbitraria de código. El Remote Procedure Call
(RPC) permite el intercambio de información entre equipos, y
está presente por defecto en el protocolo TCP bajo el puerto
135 en Windows NT 4.0, 2000 y XP.
Una falla en la parte de RPC encargada del intercambio de
mensajes sobre TCP/IP, permite a un atacante ejecutar
cualquier código con los privilegios locales (Mi PC).
Descargue y ejecute el parche correspondiente (MS03-039)
desde el siguiente enlace:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm
* IMPORTANTE
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
También instale los parches mencionados más adelante.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el gusano.
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(que posee algunas limitaciones). Si instala ZA, no active
ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1199 Año 7, Domingo 19 de octubre de 2003
|
Responder a este mensaje
