Mostrando mensaje 222     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1173 Año 7, Martes 23 de setiembre de 2003 Fecha: Martes, 23 de Septiembre, 2003  06:44:10 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1173 Año 7, Martes 23 de setiembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - El nuevo Office potenciará los gusanos .NET 2 - Todos contra iMesh 3 - W32/Opasoft.Y. Se propaga vía recursos compartidos 4 - W32/Opasoft.X. Se propaga vía recursos compartidos 5 - Troj/Gaslide.Int. Por una falla, causa inestabilidad _____________________________________________________________ 1 - El nuevo Office potenciará los gusanos .NET _____________________________________________________________ http://www.vsantivirus.com/ev-gusanos-net.htm El nuevo Office potenciará los gusanos .NET Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Como los macros de Word posibilitaron plagas como el Melissa en abril de 1999, ahora el Office 2003 puede dar una herramienta mucho más poderosa a los creadores de virus, a través de la plataforma .NET. Las soluciones aportadas por Microsoft, no convencen a los expertos. Nuevos desarrollos en Microsoft Office System 2003, el cuál sería lanzado el próximo mes (octubre de 2003), podrían llevar a la proliferación de gusanos basados en la plataforma .NET, se comentó esta semana. Microsoft .NET es un conjunto de nuevas tecnologías que permite un entorno diseñado específicamente para el desarrollo y ejecución del software en forma de servicios, que puedan ser tanto publicados como accedidos a través de Internet, sin importar el lenguaje de programación, modelo de objetos, sistema operativo o hardware utilizados tanto para el desarrollo, como para la publicación. Aunque existían desde mucho antes, los virus de macros de Word, se convirtieron en verdaderas plagas para los usuarios de Office, después que el gusano Melissa apareció en abril de 1999, propagándose a través del correo electrónico, y costando millones de dólares por el trabajo de reparación y el tiempo de inactividad de las empresas. Pero la liberación de Office System 2003, proporcionará un mecanismo mucho más poderoso para incluir código potencialmente malicioso en Word, Excel y Powerpoint, basado en la tecnología .NET de Microsoft, opinan algunos expertos en seguridad. Por su parte, Ivo Salme, director de producto de Microsoft para Visual Studio, dijo que "es evidente que algunas personas tratarán de escribir un gusano de macros, basado en .NET". Microsoft ha mejorado la seguridad en Office, empleando lo que Salme describió como un "motor de políticas". Esto le permite a los departamentos de tecnología, fijar las políticas de seguridad que determinen si los usuarios tienen o no, el derecho de ejecutar código .NET dentro de la compañía, tales como adjuntos en el correo electrónico de Office. Jan Sundgrem, analista de seguridad de Forrester Research, advirtió en cambio, que aunque el bloqueo de los adjuntos basados en .NET de Office, pueda proporcionar seguridad contra un nuevo gusano, en la práctica esto puede no ser factible, sin la interrupción de los negocios en las empresas, porque tales facilidades del correo electrónico son extremadamente populares. (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=293 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Todos contra iMesh _____________________________________________________________ http://www.vsantivirus.com/23-09-03.htm Todos contra iMesh Este artículo proviene de Webpanto http://www.webpanto.com Dieciocho discográficas han demandado por violación de derechos de propiedad a la popular red de intercambio de archivos iMesh. Según informa el rotativo "The Wall Street Journal" dieciocho empresas han presentado una demanda conjunta contra iMesh. iMesh, con sede en Tel Aviv, y una de las principales herramientas de intercambio de archivos, ha recibido la demanda en una corte de distrito en Manhattan. En ella se le acusa de servir como medio para la distribución ilegal de material protegido por derechos de propiedad, según el texto de la demanda: "Sin la ampliamente difundida infracción de las más populares canciones protegidas por derechos de autor iMesh desaparecería". Curiosamente la acción legal se produce tras anunciar iMesh el mes pasado su intención de comenzar a vender música protegida por derechos de autor procedente de artistas independientes y abandonar sus operaciones de intercambio de archivos. La dirección de esta noticia es: http://www.webpanto.com/articulo.php?sid=2713 * Relacionados: La RIAA revela sus planes para el futuro (Humor) http://www.vsantivirus.com/humor-riaa.htm Nuevo método para incriminar a usuarios de P2P http://www.vsantivirus.com/mm-metadatos.htm Compartir es legal, Ribas lo que Ribas... http://www.vsantivirus.com/compartir-legal.htm ENEMIGO PUBLICO http://www.vsantivirus.com/ai-enemigo-publico.htm ¿Susto o muerte? http://www.vsantivirus.com/susto-muerte.htm Ni Susto ni Muerte... Tomadura de pelo http://www.vsantivirus.com/cs-susto-muerte.htm P2P. Animo de lucro versus comuna http://www.vsantivirus.com/p2p-26-07-03b.htm Nuevo método para incriminar a usuarios de P2P http://www.vsantivirus.com/mm-metadatos.htm Las discográficas apuntan sus armas hacia el usuario http://www.vsantivirus.com/08-05-03.htm Sobre derechos de autor de la música http://www.vsantivirus.com/13-09-03.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Opasoft.Y. Se propaga vía recursos compartidos _____________________________________________________________ http://www.vsantivirus.com/opasoft-y.htm Nombre: W32/Opasoft.Y Tipo: Gusano de Internet Alias: Opaserv.Y, W32/Opaserv.Y.worm Plataforma: Windows 32-bit Fecha: 22/set/03 Tamaño: 24,064 bytes (UPX), 30,601 bytes (PCPEC) Reportado por: Panda Existen muchas variantes del Opasoft (u Opaserv), esta es la identificada como "Y" por algunos fabricantes de antivirus. Esta versión no provoca daños en los archivos de la máquina infectada, a diferencia de otras anteriores, y solo se propaga a través de los recursos compartidos en una red local y a través de Internet, utilizando la vulnerabilidad "Share Level Password". Utiliza para ello el puerto 139 (Netbios, NETBeui). Si su computadora tiene activa la opción "Compartir impresoras y archivos para redes Microsoft", podría ser accedida a través de Internet, y por lo tanto ser infectada con este gusano. Netbios utiliza además el puerto 137 para la búsqueda del "nombre de Windows" correspondientes a los recursos compartidos. Para estas acciones, el gusano hace uso del protocolo de comunicación llamado SMB (Server Message Block Protocol), el cuál es empleado por los sistemas operativos basados en MS- Windows para acceder a los recursos compartidos de una red, a través del puerto 139 (NetBeui en sistemas Microsoft Windows). La vulnerabilidad mencionada, está relacionada con la forma en que Windows (95, 98, 98 SE y Me) verifica las contraseñas en una red compartida, de modo que puede llegar a aceptar un solo carácter (letra o número), sin importar lo larga que sea la contraseña. La corrección para esta falla en esos sistemas operativos, está disponible desde octubre de 2000 (http://www.microsoft.com/technet/security/bulletin/ms00-072.asp). Todos los usuarios que utilicen la opción de compartir archivos e impresoras con Windows 95, 98, 98 SE y Me, deben descargar e instalar el parche desde dicho enlace. Cuando se ejecuta, el gusano crea los siguientes archivos: c:\windows\speedy.scr c:\windows\podre!! El primero es una copia del gusano. El segundo es un archivo de texto encriptado, que contiene una lista de las máquinas escaneadas e infectadas. NOTA: "c:\windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "c:\windows" en Windows 9x/ME/XP o "c:\winnt" en Windows NT/2000). El gusano también crea o modifica la siguiente entrada del registro para ejecutarse en próximos reinicios: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Spees1 = c:\windows\speedy.scr Para propagarse a través de unidades de red y recursos compartidos, el gusano busca direcciones IP con el puerto 137 abierto (protocolo NetBIOS). Si obtiene respuesta, se trasmite por el puerto 139, copiándose en el directorio raíz y en el de WINDOWS de la víctima seleccionada, con el nombre de SPEEDY.SCR. Primero, establece una conexión con el recurso \\hostname\C si la computadora remota le responde. Si el recurso está protegido con contraseña, prueba todas las posibilidades en las que la contraseña sea un sólo carácter (A, B, C, etc.). Si la contraseña tiene más de un carácter, prueba varias combinaciones en un ataque "de fuerza bruta", aprovechando la vulnerabilidad mencionada al comienzo. La búsqueda de direcciones IP sigue un orden. Primero, busca en la subred del equipo actual. Después, las dos subredes más próximas. Finalmente, escoge direcciones IP al azar. Crea un "mutex" (un semáforo) de nombre SPEEDYMERDA para saber si ya se está ejecutando en memoria, y no volver a hacerlo. También modifica el archivo WINDOWS\WIN.INI para autoejecutarse al iniciarse Windows en las máquinas remotas: [windows] run = c:\windows\speedy.scr El gusano contiene los siguientes mensajes: Telefonica ganhe menos e faca mais!! Queremos melhores servicos da SPEEDY Melhorem o servico Speed seus FDPS!! * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\speedy.scr c:\windows\speedy.scr c:\windows\podre!! Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Spees1 = c:\windows\speedy.scr 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Editar el archivo WIN.INI y SYSTEM.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [windows] run = c:\windows\speedy.scr Debe quedar como: [windows] run = 3. Grabe los cambios y salga del bloc de notas. * Información adicional * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Instalar parche para vulnerabilidad "Share Level Password". Descargue el parche necesario según se explica en el siguiente artículo (inglés): http://www.microsoft.com/technet/security/bulletin/ms00- 072.asp * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Opasoft.X. Se propaga vía recursos compartidos _____________________________________________________________ http://www.vsantivirus.com/opasoft-x.htm Nombre: W32/Opasoft.X Tipo: Gusano de Internet Alias: Opaserv.X, W32/Opaserv.X.worm Plataforma: Windows 32-bit Fecha: 17/set/03 Tamaño: 24,064 bytes (UPX) Reportado por: Panda Existen muchas variantes del Opasoft (u Opaserv), esta es la identificada como "X" por algunos fabricantes de antivirus. Esta versión no provoca daños en los archivos de la máquina infectada, a diferencia de otras anteriores, y solo se propaga a través de los recursos compartidos en una red local y a través de Internet, utilizando la vulnerabilidad "Share Level Password". Utiliza para ello el puerto 139 (Netbios, NETBeui). Si su computadora tiene activa la opción "Compartir impresoras y archivos para redes Microsoft", podría ser accedida a través de Internet, y por lo tanto ser infectada con este gusano. Netbios utiliza además el puerto 137 para la búsqueda del "nombre de Windows" correspondientes a los recursos compartidos. Para estas acciones, el gusano hace uso del protocolo de comunicación llamado SMB (Server Message Block Protocol), el cuál es empleado por los sistemas operativos basados en MS- Windows para acceder a los recursos compartidos de una red, a través del puerto 139 (NetBeui en sistemas Microsoft Windows). La vulnerabilidad mencionada, está relacionada con la forma en que Windows (95, 98, 98 SE y Me) verifica las contraseñas en una red compartida, de modo que puede llegar a aceptar un solo carácter (letra o número), sin importar lo larga que sea la contraseña. La corrección para esta falla en esos sistemas operativos, está disponible desde octubre de 2000 (http://www.microsoft.com/technet/security/bulletin/ms00- 072.asp). Todos los usuarios que utilicen la opción de compartir archivos e impresoras con Windows 95, 98, 98 SE y Me, deben descargar e instalar el parche desde dicho enlace. Cuando se ejecuta, el gusano crea los siguientes archivos: c:\windows\puta!!.com c:\windows\puta!!.dat c:\windows\calote!.dat c:\windows\putas! c:\windows\putaveia! c:\windows\vacas! c:\windows\vagabu! El primero es una copia del gusano. Los demás son textos encriptados, que contienen una lista de las máquinas escaneadas e infectadas. NOTA: "c:\windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "c:\windows" en Windows 9x/ME/XP o "c:\winnt" en Windows NT/2000). El gusano también crea o modifica la siguiente entrada del registro para ejecutarse en próximos reinicios: HKLM\Software\Microsoft\Windows\CurrentVersion\Run PutAS! = c:\windows\puta!!.com Para propagarse a través de unidades de red y recursos compartidos, el gusano busca direcciones IP con el puerto 137 abierto (protocolo NetBIOS). Si obtiene respuesta, se trasmite por el puerto 139, copiándose en el directorio raíz y en el de WINDOWS de la víctima seleccionada, con el nombre de PUTA!!.COM. Primero, establece una conexión con el recurso \\hostname\C si la computadora remota le responde. Si el recurso está protegido con contraseña, prueba todas las posibilidades en las que la contraseña sea un sólo carácter (A, B, C, etc.). Si la contraseña tiene más de un carácter, prueba varias combinaciones en un ataque "de fuerza bruta", aprovechando la vulnerabilidad mencionada al comienzo. La búsqueda de direcciones IP sigue un orden. Primero, busca en la subred del equipo actual. Después, las dos subredes más próximas. Finalmente, escoge direcciones IP al azar. Crea un "mutex" (un semáforo) de nombre PUTASCALOTE para saber si ya se está ejecutando en memoria, y no volver a hacerlo. También modifica el archivo WINDOWS\WIN.INI para autoejecutarse al iniciarse Windows en las máquinas remotas: [windows] run = c:\windows\puta!!.com El gusano contiene los siguientes mensajes: OpaSoft for Denial Of Service! BRBR! No mundo existem pessoas que nao merecemviver!!! * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\puta!!.com c:\windows\puta!!.com c:\windows\puta!!.dat c:\windows\calote!.dat c:\windows\putas! c:\windows\putaveia! c:\windows\vacas! c:\windows\vagabu! Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: PutAS! = c:\windows\puta!!.com 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Editar el archivo WIN.INI y SYSTEM.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [windows] run = c:\windows\puta!!.com Debe quedar como: [windows] run = 3. Grabe los cambios y salga del bloc de notas. * Información adicional * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Instalar parche para vulnerabilidad "Share Level Password". Descargue el parche necesario según se explica en el siguiente artículo (inglés): http://www.microsoft.com/technet/security/bulletin/ms00- 072.asp * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Troj/Gaslide.Int. Por una falla, causa inestabilidad _____________________________________________________________ http://www.vsantivirus.com/gaslide-int.htm Nombre: Troj/Gaslide.Int Tipo: Caballo de Troya Alias: Trojan.Gaslide.Intd Fecha: 21/set/03 Tamaños: (varios) Reportado por: Symantec Este troyano intenta modificar todo archivo que se ejecute, y cambiar la página de inicio del Internet Explorer. Un error en su código, ocasiona que los archivos .EXE sean inaccesibles, causando inestabilidad y el cuelgue del sistema infectado. Cuando se ejecuta, se copia a si mismo en la siguiente ubicación: c:\mscomctl.vxd También crea los siguientes archivos: c:\helpctl.gst c:\nload.vxd c:\notepad32.gst c:\notepad.gst c:\helpctl.exe c:\notepad32.exe c:\notepad.exe Los tres últimos son copias del gusano. Modifica además la siguiente rama del registro: HKEY_CLASS_ROOT\exefile\shell\open\command (Predeterminado) = c:\cdrunxp.exe "%1" %* Esto hace que el troyano se ejecute al intentar abrir cualquier .EXE. Sin embargo, el archivo C:\CDRUNXP.EXE no es creado por un error en el código, y como resultado, el sistema falla. Finalmente crea la siguiente entrada para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run c:\helpctl.exe = c:\helpctl.exe El troyano no posee rutinas de propagación. * Reparación manual Los siguientes pasos se dan como referencia, ya que si el gusano se ejecutó, los cambios realizados en el registro podrían dificultar la recuperación del sistema. * Editar el registro Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal. 1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.exe Regedit.com Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.). 2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter 3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Classes \exefile \shell \open \command 4. Pinche sobre la carpeta "command". En el panel de la derecha debería ver algo como: Nombre Datos (Predeterminado) c:\cdrunxp.exe "%1" %* 5. Pinche sobre "(Predeterminado)" y en Información del valor, debe borrar el nombre del ejecutable si existe, y dejar en "Datos" solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco): Nombre Datos (Predeterminado) "%1" %* 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: C:\Helpctl.exe = C:\Helpctl.exe 5. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\mscomctl.vxd c:\helpctl.gst c:\nload.vxd c:\notepad32.gst c:\notepad.gst c:\helpctl.exe c:\notepad32.exe c:\notepad.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual". * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1173 Año 7, Martes 23 de setiembre de 2003