Mostrando mensaje 219     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1170 Año 7, Sábado 20 de setiembre de 2003 Fecha: Sabado, 20 de Septiembre, 2003  05:03:19 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1170 Año 7, Sábado 20 de setiembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Nuevas leyes de propiedad intelectual limitan derechos 2 - El virus "Kleneu66" no existe (HOAX) 3 - Troj/PWS.Lemir.E. Intenta finalizar al ZoneAlarm 4 - Troj/PWS.Sincom.C. Roba contraseñas, finaliza procesos 5 - Troj/VBSLovcx.A. Borra archivos al azar _____________________________________________________________ 1 - Nuevas leyes de propiedad intelectual limitan derechos _____________________________________________________________ http://www.vsantivirus.com/mm-leyes-derechos.htm Nuevas leyes de propiedad intelectual limitan derechos Un estudio denuncia que las nuevas leyes de propiedad intelectual limitan los derechos de investigadores y usuarios. El gobierno español quiere adoptar la directiva europea al pie de la letra y en su versión más restrictiva. Por Mercè Molist (*) colaboradores@videosoft.net.uy La Fundación para la Investigación de las Políticas de Información (FIPR), acaba de publicar un detallado estudio sobre la Directiva Europea de "Copyright", donde se avisa que "muchas de las actividades de los ciudadanos europeos pueden prohibirse tan pronto como entre en vigor". Según el informe, que analiza también su aplicación en España, el anteproyecto de reforma de la Ley de Propiedad Intelectual "intenta literalmente copiar las medidas legales adoptadas en Bruselas o en el otro lado del Atlántico, ocultando a los ciudadanos cuáles son los verdaderos intereses detrás de ellas". Según la organización independiente FIPR, "actividades como transferir canciones de un CD con protección de copia a un "walkman" o un ordenador, o ver un DVD en un ordenador que funciona con el sistema operativo Linux pueden ser ilegales". El editor del informe, Ian Brown, augura que "estas nuevas leyes impuestas desde Hollywood y la industria discográfica van a eliminar los derechos de los ciudadanos. Deben modificarse para proteger tanto a los dueños de CDs o libros electrónicos como a las compañías de medios audiovisuales". El estudio denuncia que los usuarios no han sido invitados a las reuniones para confeccionar la directiva y las leyes estatales. Así, éstas se centran en lo que interesa a la industria: regular la copia y prohibir saltarse los mecanismos anti-copia. El investigador Alberto Escudero-Pascual, autor del apartado dedicado a España, denuncia que "la directiva no es equilibrada, intenta proteger los intereses tradicionales sin entender que las nuevas tecnologías han impuesto modelos diferentes. Actividades como la investigación en seguridad o el "software" libre no tienen espacio en la ley. Es necesario que se reconozcan los mecanismos de distribución alternativos a las distribuidoras, la relación directa entre autor y usuario, etc.". Según el investigador, entre la directiva europea de 2001 y la norteamericana Digital Millenium Copyright Act, hay "muchos puntos en común, en especial el crear un marco legal que criminaliza el uso de tecnologías y herramientas capaces de romper las protecciones. No sólo se criminaliza el uso sino la tenencia. Puede ser delito analizar un mecanismo de protección o la distribución de una copia privada y será necesario pagar un "canon" por el soporte, a pesar de que el programa que se grabe sea gratuito". El estudio afirma que la directiva europea afecta seriamente a los programas libres, la investigación en seguridad, la libre competencia, la diversidad cultural, la libertad de expresión y la privacidad. En España, se está pendiente de adaptar la Ley de Propiedad Intelectual, mediante un anteproyecto presentado en noviembre del año pasado. Dice Escudero-Pascual: "No veo en el gobierno muestras de entender las implicaciones de las medidas que quieren adoptar. Los principales argumentos en el debate han sido los roles de la Comisión de Propiedad Intelectual y la definición de copia "privada". Otros temas, como la posición vulnerable del 'software libre' o la investigación, casi no han sido incluidos y se ha excluido a sus representantes de los debates. El gobierno no ha desarrollado una política nacional relativa a las medidas de protección tecnológicas y se ha limitado a reproducir la directiva tan fielmente como ha podido". Según el informe de Escudero, "una nota del anteproyecto admite claramente que, debido a la complejidad y el carácter excesivamente técnico de las secciones concernientes a la protección legal de las "medidas de protección tecnológica", la nueva ley intenta reproducir la directiva tan fielmente como es posible". En cuanto a las disposiciones que no se han copiado literalmente, dice Escudero-Pascual, la tendencia es a "incluir todos los casos de excepciones que la Directiva Europea permite, incluyendo algunas limitaciones extras". Por ejemplo, aunque la directiva admite que se exima a los investigadores del delito de circunvalación de las protecciones tecnológicas, en España y otros países sólo estarán eximidos los minusválidos. * Relacionados: La nueva ley de Propiedad Intelectual y las "medidas tecnológicas de protección" http://www.it.kth.se/~aep/EUCD/escuderoa-lpi-spanish-eucd.pdf "Implementando la Directiva Europea de Copyright" http://www.fipr.org/copyright/guide/ IP Justice http://www.ipjustice.org/codeletter.shtml EU delays vote on digital copyright plan http://news.com.com/2100-1028_3-5074973.html?tag=fd_top (*) Copyright (C) 2003 Mercè Molist. Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - El virus "Kleneu66" no existe (HOAX) _____________________________________________________________ http://www.vsantivirus.com/hoax-kleneu66.htm El virus "Kleneu66" no existe (HOAX) Por Giordani Rodrigues editor@infoguerra.com.br Traducción: VSAntivirus [Publicado con autorización de InfoGuerra] Un nuevo virus falso de computadora, comenzó a circular en los últimos días, en la forma de un hoax (bulo), en idioma portugués. En el caso de que usted reciba un mensaje de alerta sobre un supuesto virus de nombre "Kleneu66", que vendría en un mensaje electrónico "con unos zapatos rojos bailando" y "una música bien alegre", ignórelo, pues tal virus no existe. El hoax puede ser nuevo, pero el estilo del mensaje es muy bien conocido por los internautas más experimentados. El texto tiene como título "urgentíssimo", varios párrafos con letras mayúsculas y un tono alarmista. La falsa peste virtual sería extremadamente maléfica (con capacidad de destruir el disco duro en dos horas), todavía no tendría vacuna y "según AOL", habría entrado en circulación "ayer". También está presente la vieja recomendación de reenviar el mensaje a todos nuestros conocidos. O sea, todos los elementos clásicos de un bulo electrónico están presentes. Una búsqueda en algunos de los sitios de conocidas empresas antivirus (Symantec, McAfee, F-Secure, Trend Micro, Sophos y Panda), no retornaron información alguna sobre cualquier código malicioso con el nombre "Kleneu66". Hasta el 15 de setiembre, el buscador Google tampoco brindaba resultado alguno sobre esta expresión, pero hoy trajo una única respuesta, justamente el enlace a un blog que apenas reproduce el hoax, sin brindar ninguna información adicional. Para un virus tan poderoso, es un misterio que solo el creador del mensaje y AOL, que no es un especialista en seguridad, hayan sido informados de su existencia, aún antes que las empresas del sector, que invierten millones de dólares en este mercado. Vea abajo una reproducción del hoax en su idioma original (los errores gramaticales no fueron corregidos): --- Comienzo del Hoax --- URGENTÍSSIMO LEIA AGORA MESMO E PASSE PARA TODO MUNDO QUE VOCÊ CONHECE Alguém está mandando por aí um e-mail com uns sapatinhos vermelhos dançando é uma musica bem alegre. No e-mail são oferecidas mais de mil musicas. Não baixe nada. É o vírus Kleneu66 !!! Se você abrir o arquivo em DUAS HORAS seu HD estará limpo e completamente destruído. MUITO CUIDADO!!!!! Não dê download deste arquivo em nenhuma circunstância! Este vírus entrou em circulação ontem e segundo a AOL, NÃO há antivírus disponível ainda contra o Kleneu66. Por favor, passe essa mensagem para todas as pessoas de sua lista de e-mail. Se você receber o arquivo já sabe o que fazer: NÃO BAIXE E NÃO ABRA. --- En español --- MUY URGENTE LEA ESTO AHORA Y REENVÍELO A TODOS SUS CONOCIDOS Alguien está mandando un correo electrónico con unos pequeños zapatos rojos bailando, y una música bien alegre. En el e- mail se ofrecen más de mil temas musicales. No baje nada. Es el virus Kleneu66 !!! Si usted abre el archivo, en DOS HORAS su HD será borrado y destruido completamente. ¡MUCHO CUIDADO!!!!! ¡No descargue este archivo bajo ninguna circunstancia! Este virus entró en circulación ayer y según AOL, todavía no hay antivirus disponible contra Kleneus66. Por favor, mande este mensaje a todas las personas de su lista de direcciones. Si usted recibe el archivo ya sabe lo que debe hacer. NO LO DESCARGUE NI LO ABRA. --- Final del Hoax --- Artículo publicado originalmente en "InfoGuerra" (*) http://www.infoguerra.com.br/infoguerra.php?newsid=1063713543,10908,/ * Más hoaxes Puede encontrar una lista de las falsas alarmas más comunes, en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm, o puede consultarnos a nuestra dirección e-mail: videosoft@videosoft.net.uy cuando reciba uno de estos mensajes. Otros sitios en español donde siempre podrá encontrar información debidamente investigada y comprobada: http://www.virusattack.com.ar http://www.rompecadenas.com.ar http://www.alertaantivirus.es http://www.enciclopediavirus.com En inglés: http://kumite.com/myths/myths/ http://antivirus.about.com/compute/antivirus/library/blenhoax.htm http://www.f-secure.com/hoaxes/hoax_new.shtml http://www.symantec.com/avcenter/hoax.html http://www.antivirus.com/vinfo/hoaxes/hoax.asp http://vil.nai.com/VIL/hoaxes.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/PWS.Lemir.E. Intenta finalizar al ZoneAlarm _____________________________________________________________ http://www.vsantivirus.com/lemir-e.htm Nombre: Troj/PWS.Lemir.E Tipo: Caballo de Troya robador de contraseñas Alias: PWSteal.Lemir.E, PWS-Organer, PWSteal.Lemir.105, PWSteal.Lemir.B, PWSteal.Lemir.C, PWSteal.Lemir.D Fecha: 19/set/03 Tamaño: 94,208 bytes Plataforma: Windows 32-bit Esta versión de este caballo de Troya intenta robar las contraseñas del juego en línea "Legend of Mir 2", la que luego envía al autor. También intenta finalizar la ejecución del cortafuegos ZoneAlarm. El troyano puede ser enviado a la víctima con cualquier nombre de archivo, simulando cualquier clase de utilidad. Cuando se ejecuta, se copia a si mismo en las siguientes ubicaciones: c:\winnt\intrenat.exe c:\windows\system\WinSocks.dll NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). También crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Intrenat = c:\winnt\intrenat.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Intrenat = c:\winnt\intrenat.exe Cada vez que se ejecuta, envía las contraseñas del juego "Legend of Mir 2" al autor del troyano. Esta versión, intenta además finalizar la ejecución del cortafuegos ZoneAlarm. Esto no funciona correctamente en las versiones más actuales de este programa. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Intrenat 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Intrenat 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/PWS.Sincom.C. Roba contraseñas, finaliza procesos _____________________________________________________________ http://www.vsantivirus.com/sincom-c.htm Nombre: Troj/PWS.Sincom.C Tipo: Caballo de Troya, robador de contraseñas Alias: Win32.Sincom.C, PWS-Sincom.dll, PWSteal.Lemir.gen, Trojan.PSW.Tiant.f, Win32/PSW.Tiant.Trojan Plataforma: Windows 32-bit Fecha: 16/set/03 Tamaños: 29,696 bytes, 49,152 bytes Este gusano es muy similar al Troj/PWS.Lemir, pero roba contraseñas de varios juegos en línea y no solo del "Legend of Mir 2". Por el método que utiliza para instalarse en el sistema infectado, el troyano podría propagarse como gusano por unidades de red con recursos compartidos. Consiste en dos componentes, el principal (de 29,696 bytes y comprimido con la utilidad UPX), puede presentarse con uno de estos nombres: Win2003.exe Explorer.exe El segundo componente es una librería de acceso dinámico (DLL), de 49,152 bytes, y con un nombre generado al azar, consistente en 4 o 5 números. Ejemplo: 71034.dll 4342.dll Este archivo es capaz de interceptar todas las actividades del usuario a través del teclado, en determinadas ventanas (ingreso de contraseñas, etc.). Cuando se activa por primera vez, el troyano busca los siguientes archivos para ejecutarlos (asumiendo que dichos archivos son el propio troyano, previamente instalado): d:\explorer.exe e:\explorer.exe c:\explorer.exe Crea dos mutes, que funcionan como semáforos indicadores para no ejecutarse más de una vez a si mismo: newsuper1.0 newsuper1.0back Si no existe, se copia a si mismo en la siguiente ubicación, con los atributos de oculto (+H): c:\windows\Win2003.exe Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run win2003 = c:\windows\Win2003.exe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). Luego, se copia como EXPLORER.EXE en el raíz de las siguientes unidades de disco (y unidades de red si existieran): d:\explorer.exe e:\explorer.exe También crea archivos AUTORUN.INF para ejecutarlos: d:\autorun.inf e:\autorun.inf El troyano inicia un segundo proceso de ejecución en memoria, que comprueba cada 5 segundos la existencia de los archivos mencionados, los que vuelve a crear si son borrados. Si los discos D: o E: fueran unidades de red, el troyano podría propagarse como un gusano, aunque no tiene en su código ninguna referencia relativa a hacer esto en forma explícita. El troyano guarda en el siguiente archivo, una referencia al camino de su propio ejecutable: c:\windows\ok Luego se copia el archivo .DLL en el directorio System de Windows, donde luego es ejecutado: c:\windows\system\[1234].dll Donde [1234] son cuatro o cinco números al azar. NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). Luego, el troyano comprueba cada 5 segundos, las posibles instrucciones del atacante, en una dirección de Internet determinada en su código. El archivo .DLL se encarga de interceptar las contraseñas del sistema y las ingresadas por el usuario infectado. Para ello examina si existe alguna ventana activa con alguno de los siguientes títulos (entre ellos, uno en chino), y luego intercepta todo lo tecleado por el usuario dentro de dicha ventana: legend of mir2 Legend Of Mir 3 ActiveMovie Window Lineage Windows Client También busca procesos con los siguientes nombres que se estén ejecutando en memoria: main.exe mu.exe El troyano utiliza el archivo WIN.INI para almacenar los datos. También crea la siguiente rama del registro con el mismo propósito: HKCC\Game\MU La información obtenida, es enviada luego a un sitio de Internet, a través de una conexión HTTP. El troyano también puede descargar archivos de Internet, y luego ejecutarlos. El archivo descargado es almacenado en la siguiente ubicación: c:\Windows\3847777299211.exe Este archivo, actualmente es otro troyano con características de acceso remoto. El troyano también intenta finalizar los siguientes procesos, si alguno de ellos se encontrara activo en memoria. Luego borra dichos archivos: EGhost.exe PasswordGuard.exe También intentará finalizar cualquiera de los siguientes procesos: DFVSNET.EXE EGhost.exe Iparmor.exe kvapfw.exe kvfw.exe PasswordGuard.exe pfw.exe * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: win2003 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Troj/VBSLovcx.A. Borra archivos al azar _____________________________________________________________ http://www.vsantivirus.com/vbslovcx-a.htm Nombre: Troj/VBSLovcx.A Tipo: Caballo de Troya (Visual Basic Script Alias: VBS.Trojan.Lovcx, VBS/Lovcx, Trojan.VBS.Lovcx Fecha: 25/feb/03 Plataforma: Windows 32-bit Tamaño: 4,350 bytes Este troyano, escrito en Visual Basic Script, es similar al VBS/Loveletter.CV, pero sin la característica de propagarse a través del correo electrónico (ver http://www.vsantivirus.com/lovelet-cv.htm). Solo se propaga si se ejecuta desde un disquete infectado, o si es enviado en forma premeditada, o descargado de algún sitio malicioso, o de cualquier red de intercambio de archivos P2P. Cuando se ejecuta, intenta copiarse en cualquier disquete insertado en la unidad A. Se copia a si mismo en la carpeta System de Windows: c:\windows\system\msword.vbs c:\windows\system\thwin.vbs NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003). Luego obtiene el número del mes actual, y si el mismo es menor en 9 o mayor en 3 al número del mes en que fue creado el troyano, agrega las siguientes instrucciones al archivo C:\AUTOEXEC.BAT: @echo off rem DEL "&sysdir&"\*.SYS rem DEL "&sysdir&"\*.DLL rem DEL "&sysdir&"\*.OCX rem CLS rem FORMAT C: /u /v:UNSCH /autotest CLS También crea las siguientes entradas en el registro de Windows, para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run THWIN = c:\windows\system\thwin.vbs HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices THWIN = c:\windows\system\thwin.vbs También crea esta otra entrada: HKCU\Software\Microsoft\Windows Scripting Host\Settings Timeout = 0 Cada vez que se ejecuta, al azar selecciona una de las siguientes posibles extensiones de archivos: .bak .bmp .cdr .chm .dbf .doc .dwg .gif .hlp .htm .ico .jpg .mdb .mid .mp3 .scr .ttf .wav .wav .xls Luego borra los primeros cinco archivos que encuentre con la extensión seleccionada. La lista de archivos borrados es almacenada en el siguiente archivo: c:\windows\system\listwin.txt La siguiente vez que el troyano se ejecute, quedará esperando 10 minutos y luego intentará copiarse a si mismo con el nombre de MSWORD.VBS en cualquier disquete insertado en la unidad A:, siempre que el mismo esté disponible para escritura. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Los archivos borrados deberán ser reinstalados o copiados de un respaldo anterior. Puede examinar que archivos han sido borrados en la máquina infectada, abriendo con el bloc de notas o el WordPad el siguiente archivo: c:\windows\system\listwin.txt Si desea recuperar cualquiera de los archivos allí incluidos, deberá hacerlo desde un respaldo anterior, o reinstalando el programa necesario. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\msword.vbs c:\windows\system\thwin.vbs c:\windows\system\listwin.txt Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: THWIN 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: THWIN 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows Scripting Host \Settings 7. Pinche en la carpeta "Settings" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Timeout = 0 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Método para revisar Autoexec.bat Esto sólo es necesario en computadoras bajo Windows 95/98 y Me. * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Usuarios de Windows 95, 98 y Me: 1. Pulse el botón Inicio y luego Ejecutar 2. Escriba lo siguiente y pulse OK. edit c:\autoexec.bat Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat 3. Borre todas las líneas al final del archivo que contengan lo siguiente: @echo off rem DEL "&sysdir&"\*.SYS rem DEL "&sysdir&"\*.DLL rem DEL "&sysdir&"\*.OCX rem CLS rem FORMAT C: /u /v:UNSCH /autotest CLS 4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC. * Información adicional * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1170 Año 7, Sábado 20 de setiembre de 2003