Mostrando mensaje 226     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1177 Año 7, Sábado 27 de setiembre de 2003 Fecha: Sabado, 27 de Septiembre, 2003  06:30:59 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1177 Año 7, Sábado 27 de setiembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - El truco de poner "!0000" o "AAAA", es un HOAX 2 - Menor arrestado por crear gusano similar al Blaster 3 - W32/Smibag.A. Se propaga por Messenger como SMB.EXE 4 - Troj/Backdoor.Zombam.I. Convierte su PC en servidor Web _____________________________________________________________ 1 - El truco de poner "!0000" o "AAAA", es un HOAX _____________________________________________________________ http://www.vsantivirus.com/hoax-0000.htm El truco de poner "!0000" o "AAAA", es un HOAX Por Jose Luis Lopez videosoft@videosoft.net.uy A mediados de 2001, comenzó a divulgarse un mensaje con las instrucciones para un truco relativamente fácil de implementar, que pretendía evitar la propagación de algunos gusanos de envío masivo que utilizan la libreta de direcciones de Windows para propagarse. El sencillo truco implicaba el agregar un nuevo contacto a la libreta con el nombre "!0000", sin especificar dirección electrónica alguna. La idea es que si un virus intenta enviarse usando la libreta de direcciones, el programa de correo fallará ante la presencia de una dirección inexistente (el tema del signo de admiración en el nombre es solo para que el contacto quede ordenado alfabéticamente al comienzo de la lista, y no importaría usar cualquier otro nombre que empiece con "!"). Una variante más reciente, (agosto-setiembre de 2003), cambia ligeramente las instrucciones para este "truco", basándose en una entrada en la libreta del tipo "AAAA". Existen otras variantes ligeramente diferentes, como "0000", etc. Sin embargo, ninguno de estos trucos deben ser recomendados como protección para nuestras computadoras, como afirman quienes lo recomiendan, ya que parten de falsas e inconsistentes premisas, lo que significa generar la creencia de una seguridad que no es tal. En primer lugar, la supuesta "protección", solo funcionaría tal cómo se plantea, con aquellos virus que pretenden enviarse a todos los contactos, o a los primeros X cantidad de contactos. La mayoría de los gusanos actuales prefieren seleccionar en forma aleatoria las direcciones, o tomar estas de archivos encontrados en el sistema. Actualmente, ni siquiera utilizan la libreta de direcciones, sino que muchos coleccionan estas de diferentes archivos, como lo temporales, o incluso documentos o archivos HTML del usuario. También utilizan el almacén de los propios mensajes enviados y recibidos, para extraer las direcciones a las que serán enviados. Incluso los que utilizan la libreta de direcciones, la mayoría selecciona estas al azar, y no precisamente desde el principio de la lista, con lo que el truco es totalmente inútil. Dicho de otra manera, el truco solo podría funcionar con un muy pequeño número de gusanos. Cómo hoy día, la cantidad de virus que se propagan vía e-mail supera ampliamente la de otros métodos, esto dejaría el sistema "aparentemente" protegido, cuando en realidad no lo está. Y lo peor que puede pasarnos, es confiarnos en "mágicas soluciones" que no son tales, porque la confianza mata... Cuando la aparición de la primera versión de este falso truco, en la publicación colega, InfoGuerra, Hernán Armbruster, director de operaciones de Trend Micro para América Latina, era categórico al afirmar que "la información de que este procedimiento resuelve los problemas de los virus es falsa". En InfoGuerra, Armbruster citaba como ejemplo al virus LoveLetter (ILOVEYOU), de amplia propagación en ese entonces, el cuál se propaga usando la libreta de direcciones y que posee una gran carga destructiva (existen innumerables versiones de este virus). "En este caso, el LoveLetter habría ejecutado todas sus tareas, incluso la de borrar archivos, y el desprevenido usuario solo sabría de su existencia en el momento que el virus intentase utilizar la libreta de direcciones para enviarse a otros usuarios. El daño ya habría sido hecho en ese punto. El procedimiento descripto puede ayudar de forma limitada en las acciones posteriores de algunos virus, pero no impediría las acciones anteriores", explica Armbruster. Virus como el Hybris, cada vez que un mensaje es enviado, intenta mandar una copia de si mismo en otro mensaje separado, al mismo destinatario que el mensaje normal. No utiliza para ello la libreta de direcciones. Virus como el SirCam, y otros más recientes como el Sobig, o el Swen, que tanto se han propagado, no utilizan tampoco la libreta de direcciones, simplemente consiguen estas de páginas y mensajes guardados en los archivos temporales de la computadora del infectado. Y además, muchos de estos se extienden a través de las redes locales, sin utilizar ninguna dirección de correo. Por lo tanto, tanto para Armbruster, como para muchos otros expertos, la técnica sugerida es totalmente inocua contra esta plaga. Ya en ese momento, Armbruster llamaba la atención por otro hecho. Al ubicarse al principio de la lista, el truco solo funcionaría con los virus que usen las primeras direcciones, pero nada impediría que alguien programara un virus que use las últimas entradas, cosa que ya existe. Es más, también hay gusanos que escogen aleatoriamente las direcciones. Y lo peor del problema con este tipo de "truco", es que generan un efecto contrario a lo que se pretende. Como Armbruster mencionaba en ese momento, los creadores de virus ya tienen en cuenta esta técnica para evitar usar las primeras direcciones de la libreta al propagar sus creaciones. Pero el problema más grande de este tipo de mensaje, es la falsa sensación de seguridad que genera en el usuario, culmina diciendo Armbruster en InfoGuerra. Recetas "mágicas" como éstas, divulgadas en listas y grupo de noticias, sin ningún fundamento, son simplemente bulos. Y muy peligrosos, porque terminan creando una falsa sensación de seguridad en el usuario. En lugar de reenviar estos consejos, deberíamos insistir con aquello realmente útiles... Cómo NO ABRIR NADA no solicitado, tener antivirus y software actualizados, etc... etc... Como dice InfoGuerra: si nada de lo que aquí mostramos es bastante para convencerlo, tenga en mente una cosa: desconfíe siempre de cualquier mensaje donde le pidan reenviarlo a todos sus amigos. Esta es la principal señal de que se trata de una broma (HOAX). La experiencia del SULFNBK, todavía presente en la mente de muchos usuarios, debería ser suficiente para advertirnos de no creer todo lo que llega a nuestro buzón, solo porque lo dice un supuesto "Dios de Internet". --- Ejemplo 1 del HOAX --- ¡0000: nuevo truco para frenar virus en tu e-mail La mayoría de los contagios electrónicos por virus corresponden al envío de e-mails, sobre todo en bandejas como Outlook Express. Evita las transmisiones virales. ¡Sigue estos fáciles truquitos ! Guía fácil para evitar virus: Truco útil Hay formas de evitar infecciones de virus de e-mail sin usar programas de antivirus. - Añadir: añade a tu agenda electrónica la dirección !0000. Este simple truco trabaja contra algunos virus de e-mail. * Funciona con Outlook 98 y sucesivos y Outlook Express. Afortunadamente, estos programas de correo electrónico son los más afectados por virus. Los usuarios de otros programas de e-mail, sin embargo, no se beneficiarán con él. - Abrir: abre la agenda de direcciones de tu programa. - Seleccionar: "Nuevo contacto", tal como si estuvieras añadiendo un nuevo destinatario a la lista de direcciones de e-mail. - Escribir: en el espacio destinado al nombre de pila, escribe "!000" (signo exclamativo seguido por cuatro ceros). Luego, en el espacio destinado a la dirección de e- mail escribe WormAlert. - Almacena: la nueva dirección cliqueando en Aceptar (OK). Ahora, la "dirección" !0000 aparecerá en el primer lugar de la lista de direcciones, puesto todas son ordenadas alfabéticamente. Si un gusano trata de usar tu lista de direcciones para difundirse mediante tu lista de contactos, fracasará, porque WormAlert, el falso destinatario de email, no es válido. El gusano será incapaz de proliferar. Reenvía este truco a todos tus conocidos. --- Ejemplo 2 del HOAX --- CÓMO PROTEGER TU AGENDA DE LOS VIRUS Vacuna para el virus de auto envío Este truco es realmente ingenioso por su simplicidad. Como sabrán, cuando un virus-gusano se mete en tu computadora, se dirige directamente a tu Libreta de Direcciones de e-mails, y se envía a sí mismo a todas las direcciones que alli encuentra, infectando así a todos tus contactos y amigos. Este truco no evitará que el virus se meta en tu computadora, pero evitará que use tu agenda de contactos para desparramarse más allá, y te alertará que el gusano se ha metido en tu PC. He aquí lo que hay que hacer: abre tu agenda de contactos y haz click en "nuevo contacto", como si estuvieras agregando un nuevo contacto. En la ventana donde escribirías el nombre de tu amigo, escribe AAAA. Lo mismo en el espacio titulado "apodo/nombre" para mostrar. Crea una dirección de e-mail falsa como aaaaaa@aaaaaaaa.com Ahora, he aquí lo que haz hecho y por qué funciona: El nombre AAAA se ubicará como la entrada N 1 de tu agenda. Aquí será donde el gusano, comenzará en su esfuerzo por autoenviarse a todos los contactos de tu agenda. Pero cuando trata de enviarse a AAAA, será imposible que se entregue por la falsa dirección que tu haz consignado. Si el primer intento falla (cosa que sucederá por la falsa dirección), el gusano no continúa y tus amigos no se infectarán. Aquí la segunda ventaja de este método: si un e-mail no puede ser entregado tu serás notificado en tu bandeja de entrada casi inmediatamente. Por lo tanto, si alguna vez recibes un aviso que dice que un mensaje tuyo a AAAA no se pudo entregar, sabrás de forma rápida que tienes el virus gusano en tu sistema. Puedes entonces tomar los pasos para deshacerte de él ! Si todos los amigos que tienes hacen esto, entonces no necesitas preocuparte más por abrir los mails de tus amigos. Reenvía esto a todos tus amigos. --- Final del Hoax --- * Información complementaria: !0000 Trick. Does it really stop viruses? http://antivirus.about.com/library/weekly/aa082801b.htm Dica para evitar ação de vírus é "furada" http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid9990 99361,1994, * Temas relacionados en VSAntivirus: W32/SirCam a fondo. Examen completo de este gusano http://www.vsantivirus.com/sircam.htm Virus: I-Worm.Hybris (hahaha@sexyfun.net) http://www.vsantivirus.com/hybris.htm Especial sobre el LoveLetter http://www.vsantivirus.com/lovelet-esp1.htm SULFNBK.EXE: LA VERDAD (o como matar mosquitos a cañonazos) http://www.vsantivirus.com/27-05-01.htm * Más hoaxes Puede encontrar una lista de las falsas alarmas más comunes, en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm, o puede consultarnos a nuestra dirección e-mail: videosoft@videosoft.net.uy cuando reciba uno de estos mensajes. Otros sitios en español donde siempre podrá encontrar información debidamente investigada y comprobada: http://www.virusattack.com.ar http://www.rompecadenas.com.ar http://www.alertaantivirus.es http://www.enciclopediavirus.com En inglés: http://kumite.com/myths/myths/ http://antivirus.about.com/compute/antivirus/library/blenhoax.htm http://www.f-secure.com/hoaxes/hoax_new.shtml http://www.symantec.com/avcenter/hoax.html http://www.antivirus.com/vinfo/hoaxes/hoax.asp http://vil.nai.com/VIL/hoaxes.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Menor arrestado por crear gusano similar al Blaster _____________________________________________________________ http://www.vsantivirus.com/ev27-09-03.htm Menor arrestado por crear gusano similar al Blaster Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Un menor de edad fue arrestado este viernes en los Estados Unidos, acusado de la propagación de un gusano similar al Blaster. Se trata del tercer arrestado en relación a este virus, y el segundo en territorio norteamericano. El Blaster ha ocasionado perdidas cercanas a los 10 millones de dólares. Investigadores del FBI, anunciaron el arresto de un menor de edad, en relación al lanzamiento de un gusano que infectó a millares de computadoras en todo el mundo, el pasado mes de agosto. El gusano se aprovecha de la misma vulnerabilidad en los protocolos RPC/DCOM de Windows, que hizo posible la propagación del Blaster (Lovsan). Aunque es mencionado como el segundo arresto (en territorio norteamericano), en relación a variantes del Blaster, en este caso, se trata de un gusano diferente, el RPCSDBOT, también conocido como RANDEX.E. Este gusano posee características de troyano, que habilitan un acceso por puerta trasera a las máquinas infectadas. De ese modo puede ser controlado a través del IRC (Internet Relay Chat), desde donde un atacante le ordena propagarse de una manera similar al gusano Blaster, en este caso haciendo uso del puerto 113. Los investigadores rehusaron dar alguna información sobre el sospechoso detenido, por tratarse de un menor de edad, pero anunciaron que siguen sin tener datos sobre el autor del Blaster original. La oficina del procurador general de los Estados Unidos en Seattle, solo anunció en rueda de prensa, que un menor había sido arrestado por causar daño en forma intencional a computadoras protegidas, lo que es considerado una ofensa federal. Los querellantes dijeron no saber cuantas computadoras fueron infectadas con esta variante. Diferentes versiones del virus conocido como Lovsan o Blaster, causaron estragos en redes corporativas a nivel mundial, inundando casi un millón y medio de computadoras. A principios de este mes (setiembre de 2003), había sido detenido Jeffrey Lee Parson, un estudiante secundario de Minneapolis, acusado de infectar más de 7,000 computadoras con una versión modificada del Blaster original. Los cargos presentados pueden darle a Parson, hasta 10 años de prisión, además de tener que pagar multas superiores al cuarto de millón de dólares. Los agentes federales de Seattle han manejado estos casos, porque estos gusanos infectan computadoras con la intención de bombardear servidores de Microsoft, cuya sede se encuentra bajo dicha jurisdicción. Hace unas semanas, la policía Rumana actuó en la investigación y el arresto de Dan Dumitru Ciobanu, un estudiante de 24 años de edad, sospechoso de haber modificado al Blaster original para atacar a su propia universidad. Una compañía de antivirus rumana anunció que Ciobanu había sido arrestado, pero la policía lo niega. "Los piratas informáticos deben entender que serán perseguidos y se les considerará responsables de una actividad malévola, así sean adultos o menores de edad", dijo el procurador general John McKay, en las declaraciones a la prensa de este viernes en Seattle. Una fuerza especial de tareas (la Cyber Task Force), fue creada en Washington para capturar a los creadores de estos y otros virus. La misma está compuesta por agentes locales, el FBI y el Servicio Secreto, los que son asistidos por el propio Microsoft, dijo McKay. Los daños causados por Blaster y sus variantes, han sido estimados hasta la fecha en casi 10 millones de dólares. Entre sus acciones más notorias, además del frustrado ataque al sitio de actualizaciones de Microsoft, se encuentra el haber hecho caer el sistema del Banco de la Reserva Federal en Atlanta, Georgia, además de otras oficinas estatales en diferentes ciudades. Y posiblemente, también haya tenido algo que ver con el gran apagón que afectó a una extensa región de Estados Unidos y Canadá, incluida la ciudad de Nueva York. Los nuevos gusanos se caracterizan por su rápida propagación, por distribuirse en forma masiva de modo de colapsar redes enteras de computadoras en poco tiempo, y en proporcionar a los piratas la posibilidad de controlar a miles de computadoras en forma simultánea para llevar a cabo sus acciones. (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=298 * Relacionados: W32/Randex.E. Gusano y caballo de Troya, usa RPC/DCOM http://www.vsantivirus.com/randex-e.htm Preguntas frecuentes sobre el Lovsan (Blaster) http://www.vsantivirus.com/faq-lovsan.htm W32/Lovsan.A (Blaster). Utiliza la falla en RPC http://www.vsantivirus.com/lovsan-a.htm El Blaster tuvo parte de la culpa por el gran apagón http://www.vsantivirus.com/ev-blaster-apagon.htm Estudiante rumano arrestado por el nuevo Blaster http://www.vsantivirus.com/lz04-09-03.htm Nuevas fallas podrían hacer surgir un nuevo Blaster http://www.vsantivirus.com/11-09-03.htm Blaster, o como sacar provecho de las cosas malas http://www.vsantivirus.com/lz-lecciones.htm El FBI arresta a adolescente por crear el Blaster http://www.vsantivirus.com/ev29-08-03.htm W32/Lovsan.B (Blaster). Utiliza "penis32.exe" http://www.vsantivirus.com/lovsan-b.htm Joven de 18 años preso por crear una versión del Blaster http://www.vsantivirus.com/30-08-03b.htm Microsoft se prepara para el gran "ataque" del Blaster http://www.vsantivirus.com/lz14-08-03.htm La mayor epidemia de gusanos informáticos de la historia http://www.vsantivirus.com/ev26-08-03.htm Lovsan, Blaster o MSBlast. Una pesadilla anunciada http://www.vsantivirus.com/ev12-08-03.htm Nueva generación de virus "hackers": ¿cómo protegernos? http://www.vsantivirus.com/sb-virus-hackers.htm Cada vez es más fácil 'crear' destructivos virus http://www.vsantivirus.com/ev01-09-03.htm La culpa de todo la tiene Microsoft http://www.vsantivirus.com/ar26-09-03.htm Microsoft busca el ojo del huracán http://www.vsantivirus.com/lz-huracan.htm La justicia es ciega... ¿será por eso que no navega? http://www.vsantivirus.com/lz-justicia.htm Después de todo, es un simple gusano... http://www.vsantivirus.com/apagon14-08-03.htm Circula nueva herramienta de ataque contra Windows http://www.vsantivirus.com/ev17-09-03.htm Cuando un virus puso en peligro a la humanidad http://www.vsantivirus.com/lz-nuclear.htm Ingeniería Social, vieja y eficaz amiga de los virus http://www.vsantivirus.com/lz-ingenieria.htm Una pieza más del dominó, o un simple espectador http://www.vsantivirus.com/lz-domino.htm La información y la seguridad http://www.vsantivirus.com/fdc-info-seguridad.htm Seguridad Informática: Peligros Ocultos http://www.vsantivirus.com/zma-peligros.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Smibag.A. Se propaga por Messenger como SMB.EXE _____________________________________________________________ http://www.vsantivirus.com/smibag-a.htm Nombre: W32/Smibag.A Tipo: Gusano de Internet Alias: smb.exe, Trojan.Admagic, W32.Smibag.Worm, W32/Smibag.worm.dll, W32/Smibag.worm.dr, WORM_SMIBAG.A, Win32/Smibag.A, Smess, Sinmsn Fecha: 26/set/03 Plataforma: Windows 32-bit Tamaño: 163,480 bytes Este gusano, escrito en Microsoft C++, intenta propagarse a través del MSN Messenger, y falla si este programa no está instalado en la máquina infectada. Fue ampliamente reportado originalmente en Corea, en la tarde del 26 de setiembre de 2003. Se trata de un gusano multicomponentes, que se envía a toda la lista de contactos del MSN, como un archivo de nombre SMB.EXE. Los receptores deben confirmar la recepción de este archivo para que el mismo se descargue. SMB.EXE es un archivo comprimido, autoextraíble, que cuando se ejecuta, descomprime y copia los siguientes archivos en la máquina infectada (se muestra una ventana MS-DOS cuando ello ocurre): .\admagic.exe .\atl.dll .\ext.zip .\msnvc.exe .\raw32x.dll .\sm.dll .\uz.exe c:\admagic.exe c:\smb.exe c:\test.txt c:\windows\system\raw32x.dll c:\windows\system\sm.dll c:\windows\system\uz.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). º ADMAGIC.EXE, es el gusano propiamente dicho, también detectado como un conocido Adware. º ATL.DLL. Un DLL de Microsoft Visual C++ (Active Template Library), no malicioso, borrado luego por el propio gusano. º EXT.ZIP. Es un archivo .ZIP usado por el gusano, y luego borrado. º MSNVC.EXE. Un componente malicioso, luego borrado por el gusano. º RAW32X.DLL. Archivo con datos usado por el gusano, y luego borrado. º SM.DLL. Un Browser Helper Object (BHO) malicioso, borrado luego. Un objeto BHO es un DLL que se integra al Internet Explorer, pudiendo ejecutar eventos predeterminados, como interceptar las llamadas de Active Script que permiten la apertura de ciertas ventanas. º UZ.EXE. Una herramienta de compresión no maliciosa, luego borrada por el gusano. º SMB.EXE. Se trata del archivo comprimido autoextraíble que contiene todos los componentes del gusano, usado para propagarse a través del MSN Messenger. º TEST.TXT. Un archivo de cero bytes. º RAW32X.DLL. Un archivo de datos usados por el gusano. También crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run svchost = c:\admagic.exe Además, crea las siguientes entradas: HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\explorer\Browser Helper Objects \{CD03FC97-2C85-4714-A5FF-37821781BE8C} HKCR\CLSID\{CD03FC97-2C85-4714-A5FF-37821781BE8C} HKCR\CLSID\Interface\{119D8864-53C2-4681-8D29-4F1E2A911DA1} HKCR\CLSID\TypeLib\{422FB26A-0DB0-4D4C-A65F-91034971476B} HKCR\Winner.WinnerObject.1 HKCR\Winner.WinnerObject Utiliza el archivo temporal MSNVC.EXE para enviarse a si mismo a través de la versión coreana del MSN Messenger. El nombre del archivo enviado es SMB.EXE. Si este archivo es abierto por un usuario del MSN, infectará su computadora. El código posee enlaces a varios sitios pornográficos, seguramente con la intención de mostrar ventanas del tipo pop-up con anuncios. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano. En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: TEST.TXT, RAW32X.DLL, SM.DLL, UZ.EXE, MSNVC.EXE 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: TEST.TXT, RAW32X.DLL, SM.DLL, UZ.EXE, MSNVC.EXE 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: svchost = C:\ADMAGIC.EXE 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \explorer \Browser Helper Objects \{CD03FC97-2C85-4714-A5FF-37821781BE8C} 5. Pinche en la carpeta "{CD03FC97-2C85-4714-A5FF- 37821781BE8C}" y bórrela. 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \CLSID \{CD03FC97-2C85-4714-A5FF-37821781BE8C} 7. Pinche en la carpeta "{CD03FC97-2C85-4714-A5FF- 37821781BE8C}" y bórrela. 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \CLSID \Interface \{119D8864-53C2-4681-8D29-4F1E2A911DA1} 9. Pinche en la carpeta "{119D8864-53C2-4681-8D29- 4F1E2A911DA1}" y bórrela. 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \CLSID \TypeLib \{422FB26A-0DB0-4D4C-A65F-91034971476B} 11. Pinche en la carpeta "{422FB26A-0DB0-4D4C-A65F- 91034971476B}" y bórrela. 12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \Winner.WinnerObject.1 13. Pinche en la carpeta "Winner.WinnerObject.1" y bórrela. 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \Winner.WinnerObject 15. Pinche en la carpeta "Winner.WinnerObject" y bórrela. 16. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Backdoor.Zombam.I. Convierte su PC en servidor Web _____________________________________________________________ http://www.vsantivirus.com/back-zombam-i.htm Nombre: Troj/Backdoor.Zombam.I Tipo: Caballo de Troya Alias: Backdoor.Zombam.i, Backdoor.Zombam, Backdoor.Zombam.B, Hacktool.HTTPRat Fecha: 26/set/03 Tamaño: 29,904 bytes Plataforma: Windows 32-bit Puerto: TCP/80 (configurable) Programado en C, este troyano es un auténtico servidor web de solo 29 Kb que permite al atacante explorar la computadora de su víctima, utilizando solo el navegador (cualquier navegador y sistema operativo pueden ser usados). El troyano envía al atacante la dirección IP de la víctima, de modo que solo es necesario teclear http://[ip_de_la_víctima]:puerto, para ingresar a la computadora remota. El atacante puede configurar el servidor antes de enviarlo, indicándole la dirección de correo y el servidor SMTP que desea para poder recibir la notificación de la dirección IP de la víctima, así como el puerto por el que estará accesible (por defecto TCP/80). También puede decidir si desea cerrar los cortafuegos y antivirus en la computadora atacada. Algunas de las acciones posibles: º Visualizar procesos activos en la computadora remota º Visualizar y/o descargar archivos º Cerrar cortafuegos y antivirus El servidor debe ser enviado a la víctima mediante engaños para que ésta lo ejecute, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, o copiado de disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día. Cuando el servidor se ejecuta (puede tener cualquier nombre seleccionados a partir de una lista, cómo se explica más adelante), se realizan las siguientes acciones: 1. El servidor se copia a si mismo en la carpeta de las cookies: Windows 95, 98 y Me: c:\windows\cookies\[nombre del troyano].exe Windows NT, 2000 y XP: c:\document and settings\[usuario]\cookies\[nombre del troyano].exe El [nombre del troyano] está formado al azar por uno o dos componentes de la siguiente lista: 412 boot dde dump mgr rep sys syst win Por ejemplo: boot412.exe, dump.exe, sysdde.exe, etc. 2. Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run [nombre del troyano] = [camino][nombre del troyano].exe Donde [camino] puede ser alguno de los siguientes (de acuerdo al sistema operativo): c:\windows\cookies\ c:\document and settings\[usuario]\cookies\ 3. Se instala enviando al autor la dirección IP de la víctima, y luego deja abierto el puerto 80 para el acceso de ésta a todos los recursos de la computadora. 4. Intenta eliminar cualquiera de los procesos de la siguiente lista que estuvieran activos (pertenecen a conocidos antivirus y cortafuegos): _Avpcc.exe _avpm.exe _findviru.exe Ackwin32.exe Alogserv.exe Amon.exe Anti-trojan.exe Apvxdwin.exe Atguard.exe Ave32.exe Avkserv.exe Avnt.exe Avpcc.exe Avpm.exe Avwin95.exe Blackice.exe Claw95cf.exe Cmgrdian.exe Ecengine.exe Esafe.exe Findviru.exe Fprot.exe F-prot95.exe Fp-win.exe Guarddog.exe Iamapp.exe Iomon98.exe Lookout.exe Navapsvc.exe Navapw32.exe Navnt.exe Navw32.exe Navwnt.exe Navwnt.exe Nod32.exe Nsplugin.exe Ogrc.exe Ogrc.exe Outpost.exe Rav7.exe Rulaunch.exe Scan32.exe Smss.exe Spider.exe Vet95.exe Vettray.exe Vsmain.exe Zonalarm.exe * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre cualquiera de los siguientes archivos que aparezca: c:\windows\cookies\[nombre del troyano].exe c:\document and settings\[usuario]\cookies\[nombre del troyano].exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: [nombre del troyano] 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1177 Año 7, Sábado 27 de setiembre de 2003