| Asunto: | VSantivirus No. 1194 Año 7, Martes 14 de octubre de 2003 | | Fecha: | Martes, 14 de Octubre, 2003 06:14:51 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1194 Año 7, Martes 14 de octubre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Ataque DoS a usuarios del mIRC
2 - W32/Gogo.A. Virus infector de archivos .EXE
3 - Troj/Qhosts.B. Redirecciona sitios y cambia DNS
_____________________________________________________________
1 - Ataque DoS a usuarios del mIRC
_____________________________________________________________
http://www.vsantivirus.com/ev-mirc-dos.htm
Ataque DoS a usuarios del mIRC
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
[Publicado con autorización de Enciclopedia Virus]
Un exploit recientemente divulgado, está causando numerosos
reportes de ataques de denegación de servicio en el software
mIRC (provocan la caída del programa), entre usuarios que
participan en canales de chat. El exploit involucra un
comando DCC que puede ser enviado a cualquier persona o
canal, pero no se han divulgado mayores detalles.
mIRC es un popular cliente de Internet Relay Chat (IRC) para
Windows, utilizado por miles de usuarios en el mundo entero.
Recientemente ha sido divulgado un exploit que se aprovecha
de una falla en este software para provocar una denegación de
servicio, lo que causa el bloqueo del programa. Ya existen
ataques reportados en numerosos canales de chat.
Son vulnerables todas las versiones de la 6.0 a la 6.11. La
versión 6.12, que dice corregir el problema, acaba de ser
publicada, por lo que se sugiere a todos los usuarios de este
programa, su inmediata actualización.
El exploit involucra un comando DCC que puede ser enviado a
cualquier persona o canal, pero no se han divulgado mayores
detalles.
DCC (Direct Client to Client), permite la transferencia
directa de archivos entre usuarios participantes de un canal
de chat. Se aconseja deshabilitar esta opción desde la
configuración del mIRC, seleccionándolo para que se ignoren
los pedidos de envío o recepción de datos, o tecleando la
siguiente instrucción:
/ignore -wd *
* Descarga de mIRC 6.12:
http://www.mirc.com/
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en
VSAntivirus.com con la respectiva autorización. Los derechos
de republicación para su uso en otro medio, deberán
solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=308
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Gogo.A. Virus infector de archivos .EXE
_____________________________________________________________
http://www.vsantivirus.com/gogo-a.htm
Nombre: W32/Gogo.A
Tipo: Virus infector de ejecutables
Alias: W32.HLLP.Gogo
Fecha: 11/oct/03
Plataforma: Windows 32-bit
Reportado por: Symantec
Tamaño: 57,344 bytes
Es un virus que se agrega a si mismo al principio de los
archivos con extensión .EXE existentes en el disco duro.
Según el día y la hora, puede mostrar una ventana con un
mensaje.
Cuando se ejecuta un archivo infectado, el virus extrae el
archivo original y lo copia con la extensión .VIV en el
directorio actual para luego ejecutarlo. El usuario no se
percatará que antes del programa se ha ejecutado el virus.
Luego, el virus busca en todo el disco duro C, archivos con
extensión .EXE para infectarlos.
No infecta archivos .EXE en las carpetas de Windows o
Windows\System, así como tampoco aquellos archivos con estos
nombres:
ccRegVfy.exe
ccApp.exe
iexplore.exe
Según la hora y la fecha en que se ejecute, el virus mostrará
una ventana de diálogo con el siguiente texto (además de
otros caracteres):
I am The Virus oF Happy
No posee rutina de propagación, pero un archivo infectado
podría ser enviado en forma premeditada o accidental, por
correo electrónico, o descargada de sitios maliciosos, o a
través de redes P2P.
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Troj/Qhosts.B. Redirecciona sitios y cambia DNS
_____________________________________________________________
http://www.vsantivirus.com/qhosts-b.htm
Nombre: Troj/Qhosts.B
Tipo: Caballo de Troya
Alias: Trojan.Qhosts.B, TrojanClicker.Win32.Qhost.a
Plataforma: Windows 32-bit
Tamaños: 53,248 bytes
Fecha: 13/oct/03
Este troyano intenta redireccionar los nombres de dominio de
Internet, principalmente para interceptar las consultas a las
páginas de búsqueda del Internet Explorer, así como su página
de inicio.
Una vez que el troyano se ejecuta, éste agrega la siguiente
entrada al archivo HOSTS (sin extensión), de Windows:
645238813 auto.search.msn.com
HOSTS. Es un archivo en formato texto, sin extensión, ubicado
en windows\hosts o windows\system32\drivers\etc\hosts,
dependiendo de la versión de Windows. Dicho archivo es usado
por el sistema operativo para asociar nombres de dominio con
direcciones IP. Si este archivo existe, el sistema lo examina
antes de hacer una consulta a un servidor DNS.
Crea también el siguiente archivo:
c:\windows\Web\Oslogo.bmp
NOTA: "c:\windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "c:\windows" en Windows
9x/ME/XP o "c:\winnt" en Windows NT/2000).
También intenta modificar las siguientes entradas en el
registro:
HKCU\Software\Microsoft\Internet Explorer
Search = http://%6f%75%74%2e%74%72%75%65%2d% [etc.]
SearchURL = http://%6f%75%74%2e%74%72%75%65%2d%63 [etc.]
HKCU\Software\Microsoft\Internet Explorer\Search
SearchAssistant = http://%6f%75%74%2e%74%72%75 [etc.]
CustomizeSearch = http://%6f%75%74%2e%74%72%75 [etc.]
HKCU\Software\Microsoft\Internet Explorer\Main
Search Page = http://%6f%75%74%2e%74%72%75%65 [etc.]
Default_Search_URL = http://%6f%75%74%2e%74%72 [etc.]
Search Bar = http://%6f%75%74%2e%74%72%75%65%2d [etc.]
Default_Page_URL = http://%6f%75%74%2e%74%72%75 [etc.]
Start Page = http://%6f%75%74%2e%74%72[etc.] about:blank
HKCU\Software\Microsoft\Internet Explorer\Styles
User Stylesheet = c:\windows\Web\oslogo.bmp
Use My Stylesheet = "1"
* Reparación manual
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
4. Borre del archivo HOSTS las siguientes entradas (o borre
todo el archivo HOSTS. Este archivo normalmente no es
utilizado en una instalación doméstica. En caso contrario,
confirme con el administrador de su red si el mismo es
necesario, y de lo contrario bórrelo):
645238813 auto.search.msn.com
5. Ejecute REGEDIT desde Inicio, Ejecutar, abra la siguiente
rama del registro, y luego borre los valores que se indican
de la clave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
Borre estas entradas:
Search = http://%6f%75%74%2e%74%72%75%65%2d% [etc.]
SearchURL = http://%6f%75%74%2e%74%72%75%65%2d%63 [etc.]
6. Ejecute REGEDIT desde Inicio, Ejecutar, abra la siguiente
rama del registro, y luego borre los valores que se indican
de la clave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
Borre estas entradas:
SearchAssistant = http://%6f%75%74%2e%74%72%75 [etc.]
CustomizeSearch = http://%6f%75%74%2e%74%72%75 [etc.]
7. Ejecute REGEDIT desde Inicio, Ejecutar, abra la siguiente
rama del registro, y luego borre los valores que se indican
de la clave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Borre estas entradas:
Search Page = http://%6f%75%74%2e%74%72%75%65 [etc.]
Default_Search_URL = http://%6f%75%74%2e%74%72 [etc.]
Search Bar = http://%6f%75%74%2e%74%72%75%65%2d [etc.]
Default_Page_URL = http://%6f%75%74%2e%74%72%75 [etc.]
Start Page = http://%6f%75%74%2e%74%72[etc.] about:blank
8. Ejecute REGEDIT desde Inicio, Ejecutar, abra la siguiente
rama del registro, y luego borre los valores que se indican
de la clave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles
Borre estas entradas:
User Stylesheet = c:\windows\Web\oslogo.bmp
Use My Stylesheet = "1"
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1194 Año 7, Martes 14 de octubre de 2003
|
VSantivirus No. 11
Responder a este mensaje
