Mostrando mensaje 216     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1167 Año 7, Miércoles 17 de setiembre de 2003 Fecha: Miercoles, 17 de Septiembre, 2003  01:39:39 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1167 Año 7, Miércoles 17 de setiembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Circula nueva herramienta de ataque contra Windows 2 - La RIAA revela sus planes para el futuro (Humor) 3 - Troj/JunkSurf.B. Infecta con solo ver un HTML 4 - W32/Reksa.A. Datos adjuntos: "msnupdate.exe" _____________________________________________________________ 1 - Circula nueva herramienta de ataque contra Windows _____________________________________________________________ http://www.vsantivirus.com/ev17-09-03.htm Circula nueva herramienta de ataque contra Windows Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Ya circulan herramientas que se aprovechan de la nueva falla de Windows Una nueva familia de gusanos basados en el Blaster, podría ser un asunto de horas o días, ahora que el código fuente de los exploits ha sido publicado, advierten los expertos. La nueva herramienta detectada, convierte en algo trivial para cualquier atacante acceder a cualquier computadora sin el parche. Ya existen numerosos exploits que se aprovechan de la recientemente anunciada vulnerabilidad en Windows, lo que aumenta aún más la probabilidad que nuevos virus surjan pronto. Para muchos expertos esto puede ser cosa de horas. Ken Dunham, analista de la empresa de seguridad iDefense, dijo el martes que es "sumamente probable" que nuevos gusanos o caballos de Troya, surjan en pocos días. Estos bichos se espera que ataquen a los equipos que no han sido actualizados con el último parche de seguridad publicado por Microsoft para sus sistemas operativos. La empresa ha identificado una herramienta que se aprovecha explícitamente de esta falla, y que se distribuye desde un sitio Web en China. "Una nueva familia de gusanos basados en el Blaster, podría ser un asunto de horas o días, ahora que el código fuente de los exploits ha sido publicado en el underground", escribió Dunham en un mensaje electrónico. "La nueva herramienta detectada, convierte en algo trivial para cualquier atacante malicioso ganarse el acceso no autorizado a cualquier computadora sin el parche." Aunque esta herramienta no funciona en Windows XP ni Server 2003, ya es una amenaza para usuarios de Windows 2000, y futuras creaciones podrían basarse en ella para afectar a todos estos sistemas. La herramienta afecta al menos a dos versiones conocidas de Windows 2000, y crea una nueva cuenta de usuario con el nombre "e", con una contraseña preseleccionada. Desde la semana pasada, los expertos advierten la probabilidad de nuevos virus, ya que las vulnerabilidades recientemente descubiertas en Windows, son muy similares a las que prepararon el terreno para el Lovsan o Blaster. Microsoft utiliza esta advertencia como una forma de recordar a individuos y compañías que deben instalar a la brevedad el último parche, disponible desde la semana pasada, cuando lanzó un boletín sobre el último fallo importante en su sistema operativo (MS03-039). "Las computadoras en las que se ha instalado el parche, pueden frustrar este ataque", dijo Dunham. "Desgraciadamente, muchas computadoras no han sido parchadas." El nuevo código que explota la falla e identificado por iDefense, está siendo examinado por Microsoft, dijo Amy Carroll, directora de producto en la unidad de seguridad de Microsoft. "Es otro recordatorio de la necesidad de instalar el parche", dijo ella. Sin embargo, Carroll apunta que comparado con el mismo período, esta vez un 63 por ciento más de individuos descargaron el nuevo parche, comparado con la cantidad de personas que lo hicieron para la vulnerabilidad anterior que llevó al Blaster. Carroll aconseja además a los usuarios personales de Windows, que utilicen un cortafuegos y un antivirus. Aún cuando Microsoft explora a largo plazo procedimientos para mejorar la seguridad, la compañía trata de hacer mejoras más modestas pero inmediatas a su software, dijo Carroll. Por ejemplo, ha agregado a su sitio una herramienta para que, con el permiso del usuario, se examine si Windows ha descargado e instalado los nuevos parches, y si existe un cortafuegos activo. (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=288 * Relacionados: Nuevas fallas podrían hacer surgir un nuevo Blaster http://www.vsantivirus.com/11-09-03.htm * Más información y descarga de parches: MS03-039 Ejecución de código en servicio RPCSS (824146) http://www.vsantivirus.com/vulms03-039.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - La RIAA revela sus planes para el futuro (Humor) _____________________________________________________________ http://www.vsantivirus.com/humor-riaa.htm Hola, amigos de Video Soft: He leído con mucho interés los últimos artículos sobre el intercambio de archivos y su actual problemática, y curioseando por Internet encontré un artículo en inglés muy jocoso al respecto, así que me propuse traducirlo y enviárselo para que lo miren y quizá lo publiquen en su boletín. El archivo adjunto está en formato RTF y, por supuesto, totalmente libre de virus. Espero que les guste. -- Alejandro Muñoz Uribe alejandromzu@hotpop.com Medellín, Colombia (*) Alejandro Muñoz Uribe es un fiel lector de nuestros boletines. La RIAA revela sus planes para el futuro Por Rafa Górgori. News Bureau Traducido por Alejandro Muñoz Uribe (alejandromzu@hotpop.com) WASHINGTON. Un portavoz de la Recording Industry Association of America (Asociación Estadounidense de la Industria Discográfica), el principal grupo comercial que representa a los sellos discográficos, hizo hoy algunos sorprendentes anuncios que podrían tener un impacto muy significativo en la vida tal como la conocemos. Hilary Rosen, presidenta y directora ejecutiva de la RIAA, dijo que el caso en contra de Napster ha animado a la compañía a demandar a otras empresas. "Aún podemos ganar montones de dinero vendiendo discos a precios altos", dijo Rosen, "pero las demandas… ¡ah, ahí está el verdadero dinero!". Rosen afirmó que si las demandas planteadas tienen tanto éxito como la de Napster, la industria discográfica ya no tendría que "perder [su] tiempo produciendo discos". Ella se negó a dar más detalles. La primera en la lista es la corporación Microsoft. Según Rosen: "Nuestras investigaciones demuestran que la mayoría de los criminales que usan Napster tienen una computadora con un sistema operativo de Microsoft. Si no fuera por Microsoft, estos villanos no usarían computadoras. Si estos delincuentes no usaran computadoras, el robo de música mediante Napster y otros programas P2P no serían un problema". Microsoft, que no es ajena a las demandas, dice estar organizando un equipo legal para encargarse del asunto. La empresa no hizo ningún comentario y no respondió nuestras llamadas. Otro de los objetivos es la industria de las telecomunicaciones. "Es muy sencillo", dijo Rosen. "Las personas usan las líneas telefónicas, el servicio de cable y Dios sabe qué otros medios para tener acceso a Internet". Rosen explicó como contribuyen dichos servicios a violar los derechos de autor y los comparó con la industria armamentista. "Si no hubiera armas, las personas no se dispararían y el mundo sería un mejor lugar. Si efectivamente pudiéramos acabar con la industria de las telecomunicaciones, se reducirían las violaciones a los derechos de autor y todos llevarían una vida más productiva". Al preguntarle por el futuro de las ventas de música en línea, Rosen dijo que "Internet es sólo una guarida de criminales. En algún momento será prohibida. Preferimos vender música en los almacenes. Esa es la manera en que siempre lo hemos hecho y no veo ninguna razón para cambiar". Rosen señaló además una alarmante tendencia entre los estadounidenses. "Nos hemos dado cuenta de que a mucha gente le gusta cantar en la ducha, y prácticamente en todos los casos la canción está protegida por los derechos de autor". Rosen estima que, tan sólo el año pasado, este hecho generó unas pérdidas de más de $545.000.000 de dólares. "Esto es un robo absoluto y hay que detenerlo", dijo ella. Los grupos de presión de la RIAA están trabajando estrechamente con algunos legisladores en una ley que, de ser aprobada, obligaría a todos los ciudadanos estadounidenses a hacerse un implante coclear (1). Este transmisor inalámbrico, que se está desarrollando actualmente, supervisaría todos los sonidos percibidos por cada individuo, y cada canción sería debitada de su tarjeta de crédito. "Esto es por lo que realmente nos hemos estado esforzando desde el principio", dijo Rosen jactándose. Al pedirles más información al respecto, funcionarios de la industria discográfica reconocieron que las personas sordas no estarían obligadas a hacerse el implante coclear, pero solamente si fueran "completamente sordas". NOTA: este artículo es sólo una broma; no es real. Hillary Rosen sí es la presidenta y la directora ejecutiva de la RIAA, pero no se puede asegurar que este artículo represente de una manera fiel sus puntos de vista. Extraído de The J--Walk Blog: http://j-walk.com/other/riaa/index.htm * Glosario: Implante Coclear - Técnica de ayuda a sorderas profundas, es un transductor que transforma las señales acústicas en señales eléctricas que estimulan el nervio auditivo. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/JunkSurf.B. Infecta con solo ver un HTML _____________________________________________________________ http://www.vsantivirus.com/junksurf-b.htm Nombre: Troj/JunkSurf.B Tipo: Caballo de Troya Alias: Win32.JunkSurf, Download.Aduent.Trojan, Downloader-ED, TROJ_JUNKSURF.A, VBS_JUNKSURF.B, TrojanDownloader.Win32.Small.aq, Win32/JunkSurf.B.Trojan, Win32/JunkSurf.B, Trojan.Aduent, Troj/JSurf-B, Adware-Surfbar Fecha: 15/set/03 Plataforma: Windows 32-bit Tamaños: 6,657 bytes(exe), 508.000 bytes(dll), 1,536 bytes, 932 bytes Este caballo de Troya se vale de la vulnerabilidad descripta en el boletín de seguridad MS03-032 de Microsoft: * Vulnerabilidad de etiquetas de objeto Internet Explorer no puede determinar correctamente un tipo de objeto que se devuelve de un servidor Web. Un atacante podría utilizar este punto vulnerable para ejecutar código arbitrario en el sistema de un usuario. Si un usuario visita el sitio Web del atacante, éste podría aprovechar esta vulnerabilidad sin necesidad de ninguna otra intervención de parte del usuario. Un atacante también podría diseñar un mensaje de correo electrónico en formato HTML para aprovecharse de esta vulnerabilidad. Más información: MS03-032 Actualización acumulativa para IE (822925) http://www.vsantivirus.com/vulms03-032.htm El troyano se distribuye como adjunto en un mensaje enviado como SPAM (correo basura). Algunos ejemplos de estos mensajes: Ejemplo 1: Asunto: Hello Texto: Hey, Want to go to the pub on Saturday? Last Saturday was a blast! Let me know! Ejemplo 2: Asunto: Whats Happening? Texto: Why hello ;) Whats been happening on your side of the woods? We haven't been doing much at all really! Anyways seeya tommorow. Ejemplo 3: Asunto: Whats Happening? Texto: Hey, How have you been? What have you been doing lately? Ive just been at home doing nothing :( bored at uni etc. Anyway's lets catch up soon, Luv, You know who ;) Ejemplo 4: Asunto: Hey Texto: Hello, How have you been lately? Our familys been fine, not a lot happening over here! What are you doing this weekend? Luv, Your Pal! Los mensajes, con formato HTML y sin ningún adjunto, contienen un objeto ActiveX con el que explota la vulnerabilidad descripta antes para ejecutarse en la máquina del usuario sin el conocimiento de éste. Se agrega como adware, y se configura como un plug-in del Internet Explorer (SurferBar Internet Explorer toolbar). Esta barra de herramientas es descargada de un sitio de Internet y luego instalada sin la autorización del usuario. La existencia del archivo SFBAR.EXE en una computadora, puede indicar una posible infección. Nota: La configuración sugerida en el siguiente artículo, también previene la ejecución de esta clase de malware: Navegando más seguros y sin molestos Pop-Ups con el IE http://www.vsantivirus.com/faq-sitios-confianza.htm El troyano también agrega enlaces a sitios pornográficos en diferentes carpeta del sistema. El malware consiste en tres componentes, un archivo HTML, un script CGI y un ejecutable .EXE. El archivo HTML se aprovecha de la vulnerabilidad para conectarse a un sitio de Internet con un archivo A.CGI, con el que crea y descarga al ejecutable SFBAR.EXE de 1,536 bytes. Cuando SFBAR.EXE se ejecuta, éste a su vez descarga e instala otro componente que se encuentra en el sitio Web del autor del troyano: SURFERBAR.DLL. El archivo SURFERBAR.DLL, de 508,000 bytes, es descargado en alguna de las siguientes ubicaciones: c:\program files\win32.dll c:\archivos de programa\win32.dll También se agregan enlaces directos a varios sitios de Internet con contenido pornográfico, en numerosas carpetas del sistema. Ejemplos: Nombre de los accesos directos: Adult Search.lnk Erotic Search.lnk Vivid DVD.lnk Web Search.lnk Carpetas: %userprofile%\Desktop\ %userprofile%\Desktop\Adult Entertainment\ %userprofile%\Desktop\Casinos & Gambling\ %userprofile%\Desktop\Find a date\ %userprofile%\Desktop\Search The Net\Adults Only\Video\ %userprofile%\Escritorio\ %userprofile%\Escritorio\Adult Entertainment\ %userprofile%\Escritorio\Casinos & Gambling\ %userprofile%\Escritorio\Find a date\ %userprofile%\Escritorio\Search The Net\Adults Only\Video\ %userprofile%\Favorites\Adult Entertainment\ %userprofile%\Favorites\Casinos & Gambling\ %userprofile%\Favorites\Find a date\ %userprofile%\Favorites\Search The Net\ %userprofile%\Favorites\Search The Net\Adults Only\Video\ %userprofile%\Favoritos\Adult Entertainment\ %userprofile%\Favoritos\Casinos & Gambling\ %userprofile%\Favoritos\Find a date\ %userprofile%\Favoritos\Search The Net\ %userprofile%\Favoritos\Search The Net\Adults Only\Video\ %userprofile%\Menú Inicio\Adult Entertainment\ %userprofile%\Menú Inicio\Casinos & Gambling\ %userprofile%\Menú Inicio\Find a date\ %userprofile%\Menú Inicio\Programas\Adult Entertainment\ %userprofile%\Menú Inicio\Programas\Casinos & Gambling\ %userprofile%\Menú Inicio\Programas\Find a date\ %userprofile%\Menú Inicio\Programas\Search The Net\ %userprofile%\Menú Inicio\Search The Net\Adults Only\Video\ %userprofile%\Menú Inicio\Venusseek\ %userprofile%\Start Menu\Adult Entertainment\ %userprofile%\Start Menu\Casinos & Gambling\ %userprofile%\Start Menu\Find a date\ %userprofile%\Start Menu\Programs\Adult Entertainment\ %userprofile%\Start Menu\Programs\Casinos & Gambling\ %userprofile%\Start Menu\Programs\Find a date\ %userprofile%\Start Menu\Programs\Search The Net\ %userprofile%\Start Menu\Search The Net\Adults Only\Video\ %userprofile%\Start Menu\Venusseek\ %windir%\ %windir%\Desktop\ %windir%\Desktop\Adult Entertainment\ %windir%\Desktop\Casinos & Gambling\ %windir%\Desktop\Find a date\ %windir%\Desktop\Search The Net\Adults Only\Video\ %windir%\Escritorio\ %windir%\Escritorio\Adult Entertainment\ %windir%\Escritorio\Casinos & Gambling\ %windir%\Escritorio\Find a date\ %windir%\Escritorio\Search The Net\Adults Only\Video\ %windir%\Favorites\Adult Entertainment\ %windir%\Favorites\Casinos & Gambling\ %windir%\Favorites\Find a date\ %windir%\Favorites\Search The Net\ %windir%\Favorites\Search The Net\Adults Only\Video\ %windir%\Favoritos\Adult Entertainment\ %windir%\Favoritos\Casinos & Gambling\ %windir%\Favoritos\Find a date\ %windir%\Favoritos\Search The Net\ %windir%\Favoritos\Search The Net\Adults Only\Video\ %windir%\Menú Inicio\Adult Entertainment\ %windir%\Menú Inicio\Casinos & Gambling\ %windir%\Menú Inicio\Find a date\ %windir%\Menú Inicio\Programas\Adult Entertainment\ %windir%\Menú Inicio\Programas\Casinos & Gambling\ %windir%\Menú Inicio\Programas\Find a date\ %windir%\Menú Inicio\Programas\Search The Net\ %windir%\Menú Inicio\Search The Net\Adults Only\Video\ %windir%\Menú Inicio\Venusseek\ %windir%\Start Menu\Adult Entertainment\ %windir%\Start Menu\Casinos & Gambling\ %windir%\Start Menu\Find a date\ %windir%\Start Menu\Programs\Adult Entertainment\ %windir%\Start Menu\Programs\Casinos & Gambling\ %windir%\Start Menu\Programs\Find a date\ %windir%\Start Menu\Programs\Search The Net\ %windir%\Start Menu\Search The Net\Adults Only\Video\ %windir%\Start Menu\Venusseek\ NOTA: La variable %windir% corresponde a la ubicación de Windows de acuerdo a la versión instalada (por defecto C:\WINDOWS en Windows 9x/ME/XP o C:\WINNT en Windows NT/2000). NOTA: La variable %userprofile% corresponde a la carpeta del usuario en Windows 2000 y XP (C:\DOCUMENTS AND SETTINGS\[usuario]). El troyano descarga otro ejecutable, WINS32.EXE de 6,657 bytes, que es utilizado para verificar en forma periódica que la instalación de los demás componentes no han sido modificados: c:\program files\wins32.exe c:\archivos de programa\wins32.exe Agrega la siguiente entrada al registro de Windows: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce win32 = c:\program files\wins32.exe Otros cambios realizados. Modifica la página de inicio del Internet Explorer: HKCU\SOFTWARE\Microsoft\Internet Explorer\Main Start Page = http:/ /www.surferbar.com/ Agrega la siguiente clave: HKEY_CLASSES_ROOT\CLSID \{FF7FD490-34E7-4FA1-927A-F5799E6AAD7B} Esto hace que el DLL se ejecute cuando se inicia el Internet Explorer. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano. En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: "erotic search.lnk" ; "web search.lnk" ; adult search.lnk ; sfbar.exe ; surferbar.dll ; vivid dvd.lnk ; win32.dll ; wins32.exe 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: "erotic search.lnk" ; "web search.lnk" ; adult search.lnk ; sfbar.exe ; surferbar.dll ; vivid dvd.lnk ; win32.dll ; wins32.exe 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \SOFTWARE \Microsoft \Windows \CurrentVersion \Runonce 3. Pinche en la carpeta "Runonce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: win32 Nota: Esta clave solo estará si la computadora aún no se reinició después de la ejecución del troyano. 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \CLSID \{FF7FD490-34E7-4FA1-927A-F5799E6AAD7B} 5. Pinche en la carpeta "{FF7FD490-34E7-4FA1-927A- F5799E6AAD7B}" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual". * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet pinche en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Pinche en Aceptar, etc. * Actualizar Internet Explorer Actualice su Internet Explorer según se explica en el siguiente artículo: http://www.vsantivirus.com/vulms03-032.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Reksa.A. Datos adjuntos: "msnupdate.exe" _____________________________________________________________ http://www.vsantivirus.com/reksa-a.htm Nombre: W32/Reksa.A Tipo: Gusano de Internet Alias: Reksa.A, W32/Reksa.A.worm Fecha: 16/set/03 Plataforma: Windows 32-bit Tamaño: 13,824 bytes Reportado por: Panda Este gusano, escrito en assembler, no posee ningún efecto destructivo, y solo se propaga a través del correo electrónico en un mensaje que simula ser enviado por el soporte MSN de Microsoft: De: msn Support <msn@microsoft.com> Asunto: Support Message Datos adjuntos: msnupdate.exe Texto: NEW!! Update your msn with new patch 6.0.0538 What new on this version: now you can phone free around the world include usa, canada, france from your pc to phone free, run Attached file now! msn@microsoft.com copyright ©1997-2002 Microsoft Corporation Cuando se ejecuta, muestra una ventana de mensaje con el siguiente texto: msn messenger msn patched! [ Aceptar ] También se copia en la carpeta Windows con el siguiente nombre: c:\windows\msn.exe Modifica el registro para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run nav32 = c:\windows\msn.exe * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\msn.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: nav32 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1167 Año 7, Miércoles 17 de setiembre de 2003