Mostrando mensaje 234     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1185 Año 7, Domingo 5 de octubre de 2003 Fecha: Domingo, 5 de Octubre, 2003  06:00:43 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1185 Año 7, Domingo 5 de octubre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Troj/PWS.Finero.A. Simula la interface de un banco 2 - W32/Kazwin.A. Se propaga a través del KaZaa 3 - W32/StartPage.G. Cambia páginas de inicio y de búsqueda 4 - Troj/Backdoor.Lassrv.A. Troyano de acceso remoto _____________________________________________________________ 1 - Troj/PWS.Finero.A. Simula la interface de un banco _____________________________________________________________ http://www.vsantivirus.com/finero-a.htm Nombre: Troj/PWS.Finero.A Tipo: Caballo de Troya, robador de contraseñas Alias: PWSteal.Finero Fecha: 3/oct/03 Plataforma: Windows 32-bit Tamaños: 190.976 bytes (descargador), 370,188 bytes (RAR), 325,632 bytes (troyano) Reportado por: Symantec Este troyano simula ser la interface de ciertos bancos de origen brasileño, con la intención de robar las contraseñas de usuarios desprevenidos. Un componente que descarga al troyano propiamente dicho, puede arribar en un correo electrónico con el siguiente adjunto: BBsetup.exe Todos los componentes (troyano y programa descargador), están escritos en Borland Delphi, y comprimidos con la utilidad UPX. Cuando el adjunto es ejecutado, el programa descargador muestra una ventana con un mensaje, que incluye un botón con la leyenda [clique aqui]. Cuando el usuario sigue estas instrucciones, se procede a descargar de un sitio FTP en Internet, un archivo autoextraíble en formato RAR, el cuál es grabado en la siguiente ubicación y luego ejecutado: c:\windows\system\setupx.exe Cuando este componente se ejecuta, el mismo crea al troyano propiamente dicho, en la siguiente ubicación, y luego lo ejecuta automáticamente: c:\windows\system\mobsync32.exe Cuando el troyano se ejecuta, el mismo agrega la siguiente entrada en el registro para poder ejecutarse cada vez que Windows se reinicia. HKLM\Software\Microsoft\Windows\CurrentVersion\Run MOBSYNC32.EXE = c:\windows\system\mobsync32.exe Luego, monitorea toda ventana del Internet Explorer que estuviera activa, esperando que la víctima abra la página de determinados bancos on-line de Brasil. Cuando uno de esos sitios es accedido por el usuario, el troyano despliega una de varias ventanas de ingreso seleccionada de acuerdo al sitio visitado (examina el título de la ventana del IE abierta), solicitando el nombre de usuario y la contraseña. La información obtenida es almacenada en el siguiente archivo: c:\windows\mob\sys.log Luego, dicho archivo es subido por el propio troyano, a un sitio FTP determinado. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. * Borrar los archivos creados por el gusano. En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: bbsetup.exe, setupx.exe, mobsync32.exe 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Con el Explorador de Windows, busque y borre también la carpeta "MOB" y su contenido: c:\windows\mob\ 7. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: bbsetup.exe, setupx.exe, mobsync32.exe 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Con el Explorador de Windows, busque y borre también la carpeta "MOB" y su contenido: c:\windows\mob\ 11. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: MOBSYNC32.EXE 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Kazwin.A. Se propaga a través del KaZaa _____________________________________________________________ http://www.vsantivirus.com/kazwin-a.htm Nombre: W32/Kazwin.A Tipo: Gusano de Internet (P2P) Alias: W32.HLLW.Kazwin Fecha: 3/oct/03 Plataforma: Windows 32-bit Tamaño: 226,776 bytes Reportado por: Symantec Este gusano, escrito en Borland Delphi, se propaga a través de la red de intercambio de archivo KaZaa, así como puede ser descargado desde un sitio de Internet malicioso. Cuando se ejecuta, el gusano se copia en la siguiente ubicación: c:\windows\winexec32.exe NOTA: "c:\windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "c:\windows" en Windows 9x/ME/XP o "c:\winnt" en Windows NT/2000). Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WinExec32 = c:\windows\winexec32.exe También descarga de un sitio predeterminado de Internet, el siguiente archivo: winexec.exe Este archivo no posee ningún componente malicioso. Luego el troyano busca en el registro la carpeta compartida del KaZaa, y se copia en ella con los siguientes nombres: Age of empires 2 crack.exe Age Of Mythology ISO.exe Battle.net key generator (WORKS!!).exe Britney spears nude.exe Burnout 2 Car Racing.exe Cable modem uncapper.exe CloneCD + crack.exe CloneCD all-versions key generator.exe Copy protection remover.exe Crazy taxi crack.exe CuteFTP Pro 3.0.exe DivX codec v6.0.exe DivX newest version.exe DivX patch - Increases quality.exe DivX pro key generator.exe DivX.exe Doom 3 Beta.exe Dragonball Z COMPLETE episode guide.exe Dragonball Z episode 1.exe Dragonball Z shootout.exe Gamecube Emulator (WORKS!!).exe Grand Prix 4 crack.exe Grand theft auto 3 CD1 crack.exe GTA3 crack.exe Hack into any computer!!.exe Half-life ONLINE key generator.exe Half-life WON key generator.exe Jedi Knight 2 crack.exe J-LO Nude (REAL!!).exe KaZaA hack.exe KaZaA media desktop v2.0 UNOFFICIAL.exe KaZaA spyware remover.exe Key generator for all windows XP versions.exe Key generator for over 1,000 applications (really!).exe Macromedia Dreamweaver MX Key Generator.exe Macromedia Flash MX Key Generator.exe Macromedia MX key generator (all products).exe Mafia ISO.exe McAfee Firewall 3.exe Microsoft key generator, works for ALL microsoft products!!.exe Microsoft Office XP (english) key generator.exe Microsoft Office XP.iso.exe Microsoft Windows XP crack pack.exe Mirc 7.0.exe Motorcross Madness 2.exe N0RT0N ANTI-VIRUS 2003.exe Neverwinter nights crack.exe Nokia simlock remover (includes new models).exe Norton antivirus 2002.exe Quake 4 BETA.exe Rayman 2 Full.exe Resident Evil [DivX].exe Star wars episode 2 downloader.exe Total Immersion Racing ISO.exe Warcraft 3 battle.net serial generator.exe Warcraft 3 ONLINE key generator.exe Win A Ps2.exe Windows XP key generator.exe Windows XP serial generator.exe Windows XP SP1 key-Crack.exe Winrar + crack.exe Winzip 8.0 + serial.exe Working Iso Burner.exe XBOX emulator (WORKS!!).exe Xbox.info.exe Y finalmente modifica las siguientes entradas en el registro para permitir el intercambio de archivos con KaZaa, así como deshabilitar su protección antivirus incorporada: HKEY_CURRENT_USER\Software\KaZaA\LocalContent DisableSharing = 0 HKEY_CURRENT_USER\Software\KaZaA\Advanced ScanFolder = 0 HKEY_CURRENT_USER\Software\KaZaA\ResultsFilter virus_filter = 0 HKEY_CURRENT_USER\Software\KaZaA\UserDetails AutoConnected = 1 * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano. En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: winexec32.exe, winexec.exe 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: winexec32.exe, winexec.exe 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: WinExec32 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \KaZaA \LocalContent 5. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DisableSharing = 0 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \KaZaA \Advanced 7. Pinche en la carpeta "Advanced" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: ScanFolder = 0 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \KaZaA \ResultsFilter 9. Pinche en la carpeta "ResultsFilter" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: virus_filter = 0 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \KaZaA \UserDetails 11. Pinche en la carpeta "UserDetails" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: AutoConnected = 1 12. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/StartPage.G. Cambia páginas de inicio y de búsqueda _____________________________________________________________ http://www.vsantivirus.com/startpage-g.htm Nombre: W32/StartPage.G Tipo: Caballo de Troya Alias: Win32.Startpage.G, TROJ_STARTPAGE.Q, Trojan.StartPage, Trojan.Win32.StartPage.y, W32/Cardown.A, Win32/Cardown.Trojan Plataforma: Windows 32-bit Fecha: 3/oct/03 Este troyano, escrito en Visual C++, cambia las páginas de inicio y de búsqueda del usuario infectado en el Internet Explorer. Para ello realiza severas modificaciones en el registro, como se describen más abajo, donde [dirección del sitio] puede ser cualquier página web, en este caso "out.true- counter.com/b/?101". Claves del registro modificadas: HKCU\Software\Microsoft\Internet Explorer\Main Default_Page_URL = [dirección del sitio] Default_Search_URL = [dirección del sitio] Search Bar = [dirección del sitio] Search Page = [dirección del sitio] Start Page = [dirección del sitio] Use Search Assistant = "yes" HKCU\Software\Microsoft\Internet Explorer\Search (Predeterminado) = [dirección del sitio] CustomizeSearch = [dirección del sitio] SearchAssistant = [dirección del sitio] HKCU\Software\Microsoft\Internet Explorer\SearchURL (Predeterminado) = [dirección del sitio] HKCU\Software\Microsoft\Internet Explorer\Styles Use My Stylesheet = 0x1 User Stylesheet = "c:\Windows\Web\oslogo.bmp" HKLM\Software\Microsoft\Internet Explorer\Main Default_Search_URL = [dirección del sitio] Search Page = [dirección del sitio] Start Page = [dirección del sitio] Use Search Assistant = "yes" HKLM\Software\Microsoft\Internet Explorer\Search (Predeterminado) = [dirección del sitio] CustomizeSearch = [dirección del sitio] SearchAssistant = [dirección del sitio] HKLM\Software\Microsoft\Internet Explorer\Styles Use My Stylesheet = 0x1 User Stylesheet = "c:\Windows\Web\oslogo.bmp" El gusano también modifica el archivo HOSTS. HOSTS es un archivo en formato texto, sin extensión, ubicado en windows\hosts o windows\system32\drivers\etc\hosts, dependiendo de la versión de Windows. Dicho archivo es usado por el sistema operativo para asociar nombres de dominio con direcciones IP. Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS. El gusano redirige las direcciones IP de la página de búsqueda de MSN (MSN Search), al IP del sitio web mencionado antes. Cada vez que se intente acceder a MSN Search, se accede al sitio ya visto. También crea estos archivos (el primero detectado como JS/StartPage): c:\windows\Default.CSS c:\windows\web\Oslogo.bmp NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "c:\winnt", "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). De ese modo, se agrega una hoja de estilo por defecto para dar formato a todas las páginas Web que se muestren, y puede ser accedida desde Herramientas, Opciones de Internet, lengüeta "General", botón "Accesibilidad", "Hoja de estilo del usuario". Esta hoja de estilo tiene enlaces al sitio web mencionado. También modifica el archivo WIN.INI en C:\WINDOWS, apuntando a un archivo legítimo de Windows (MSINFO.EXE), el cuál se autoejecutará en cada reinicio del sistema. No está claro la razón de la ejecución de este programa (la herramienta Información del Sistema de Microsoft), que no siempre está instalada. Sin embargo, el propio Microsoft aconseja restringir los permisos de acceso a este archivo, ya que podría ser usado para infringir la seguridad o recopilar información del sistema. [Windows] run = msinfo.exe * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano. En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: default.css; hosts; oslogo.bmp 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: default.css; hosts; oslogo.bmp 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Nota: El archivo HOSTS normalmente no es utilizado en una instalación doméstica. En caso contrario, confirme con el administrador de su red si el mismo es necesario, y de lo contrario bórrelo. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main 3. Pinche en la carpeta "Main" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Default_Page_URL Default_Search_URL Search Bar Search Page Start Page Use Search Assistant 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Search 5. Pinche en la carpeta "Search" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: (Predeterminado) CustomizeSearch SearchAssistant 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \SearchURL 7. Pinche en la carpeta "SearchURL" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: (Predeterminado) 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Styles 9. Pinche en la carpeta "Styles" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Use My Stylesheet User Stylesheet 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Internet Explorer \Main 11. Pinche en la carpeta "Main" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Default_Search_URL Search Page Start Page Use Search Assistant 12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Internet Explorer \Search 13. Pinche en la carpeta "Search" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: (Predeterminado) CustomizeSearch SearchAssistant 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Internet Explorer \Styles 15. Pinche en la carpeta "Styles" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Use My Stylesheet User Stylesheet 16. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Editar el archivo WIN.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [Windows] run = msinfo.exe Debe quedar como: [Windows] run = 3. Grabe los cambios y salga del bloc de notas. 4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet pinche en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Pinche en Aceptar, etc. * Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer 1. Cierre todas las ventanas del Internet Explorer abiertas 2. Seleccione "Mi PC", "Panel de control". 3. Pinche en el icono "Opciones de Internet". 4. Seleccione la lengüeta "Programas". 5. Pinche en el botón "Restablecer configuración Web" 6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI. 7. Pinche en "Aceptar". * Eliminar "Hoja de estilo del usuario" 1. Cierre todas las ventanas del Internet Explorer abiertas 2. Seleccione "Mi PC", "Panel de control". 3. Pinche en el icono "Opciones de Internet". 4. Seleccione la lengüeta "General", botón "Accesibilidad". 5. En "Hoja de estilo del usuario", destilde "Dar formato a los documentos utilizando mi hoja de estilo". 6. Pinche en "Aceptar". * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Backdoor.Lassrv.A. Troyano de acceso remoto _____________________________________________________________ http://www.vsantivirus.com/back-lassrv-a.htm Nombre: Troj/Backdoor.Lassrv.A Tipo: Caballo de Troya de acceso remoto Alias: Backdoor.Lassrv Fecha: 3/oct/03 Plataforma: Windows 32-bit Tamaños: 19,456 bytes (EXE), 43,008 bytes (DLL) Puertos: TCP/1988, TCP/1999 Reportado por: Symantec Troyano comprimido con la utilidad ASPack, que suele distribuirse manualmente, a través del correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros. Cuando el troyano se ejecuta en la máquina de su víctima, un atacante puede tomar el control de la misma. Cuando se ejecuta, se crean dos archivos, un .EXE y un .DLL, que generalmente se presentan con los siguientes nombres: lsasrv32.exe lsarv32.dll El primero, inyecta al archivo LSASRV32.DLL dentro de un proceso legítimo de Windows (XP/2000), LSASS.EXE (LSA Shell). LSARV32.DLL contiene la rutina principal del acceso remoto (backdoor). Luego, el troyano intentará conectarse a través de los puertos TCP 1988 y 1989, a una dirección IP específica, para luego quedar esperando las instrucciones de un usuario remoto. El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, o copiado de disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día. * Reparación manual IMPORTANTE: Si el troyano ha sido instalado en el sistema, es posible que su computadora pueda ser accedida en forma remota por un intruso sin su autorización. Esto es más crítico en caso de tenerla conectada a una red. Por esta razón es imposible garantizar la integridad del sistema luego de la infección. El usuario remoto puede haber realizado cambios a su sistema, incluyendo las siguientes acciones (entre otras posibles): - Robo o cambio de contraseñas o archivos de contraseñas. - Instalación de cualquier software que habilite conexiones remotas, a partir de puertas traseras. - Instalación de programas que capturen todo lo tecleado por la víctima. - Modificación de las reglas de los cortafuegos instalados. - Robo de números de las tarjetas de crédito, información bancaria, datos personales. - Borrado o modificación de archivos. - Envío de material inapropiado o incriminatorio desde la cuenta de correo de la víctima. - Modificación de los derechos de acceso a las cuentas de usuario o a los archivos. - Borrado de información que pueda delatar las actividades del atacante (logs, etc.). Estas acciones solo se indican como ejemplo, pero de ningún modo deben tomarse como las únicas posibles. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Información adicional * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1185 Año 7, Domingo 5 de octubre de 2003