| Asunto: | VSantivirus No. 1218 Año 8, Viernes 7 de noviembre de 2003 | | Fecha: | Viernes, 7 de Noviembre, 2003 05:48:30 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1218 Año 8, Viernes 7 de noviembre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Parche crítico para falla de Office 2003
2 - W32/Wullik.B. Datos adjuntos: "MShelp.EXE"
3 - W32/Spybot.W. Se propaga vía P2P, IRC, MSN, AIM, Yahoo
4 - Troj/Java.Zaak.A. Applet de Java que modifica el IE
5 - Troj/Backdoor.Bionet.404. Troyano de acceso remoto
6 - W32/Randex.Y. Se propaga por redes, se controla por IRC
_____________________________________________________________
1 - Parche crítico para falla de Office 2003
_____________________________________________________________
http://www.vsantivirus.com/off2003-kb828041.htm
Parche crítico para falla de Office 2003
Fuente: www.GorilaX.com
Microsoft ha publicado un parche de "actualización crítica"
para su recién liberado paquete Office 2003, presentado hace
apenas 2 semanas, después de identificar un problema de
compatibilidad con versiones anteriores de Office.
La actualización soluciona un error que ocurre cuando un
usuario procura abrir o guardar un archivo de PowerPoint
2003, Word 2003, o Excel 2003 que incluya un gráfico de
OfficeArt que haya sido modificado y guardado en una versión
anterior de Microsoft Office, explicó un vocero de la
compañía.
Cuando un archivo que contiene un gráfico de OfficeArt
guardado con la última versión de Office es abierto en una
versión anterior, el documento puede no abrirse
completamente, corromperse o abrirse con pérdida de
contenido.
Los archivos creados en Office 2003 pueden ser abiertos y
guardados en versiones anteriores del software, pero una vez
que el archivo se corrompe, las tentativas por guardar el
archivo usando la última versión de Office, darán por
resultado en gráficos perdidos, a no ser que se aplique el
parche ahora liberado.
Los fallos técnicos son comunes en los nuevos lanzamientos,
dice Laura DiDio, analista de Yankee Group. Pero estas
incompatibilidades pueden llegar a generar una impresión
negativa en los grandes consumidores, comentó ella a
NewsFactor.
"Este sigue siendo un producto muy nuevo, y no mucha gente lo
ha comprado todavía. Para el momento en que gane popularidad,
Microsoft tendrá la mayoría de los fallos resueltos" dijo
DiDio.
El hecho que Microsoft publique un parche, pone a prueba a
las organizaciones para asegurarse que ellos tengan un
proceso apropiado de administración de parches, dijo Dana
Gardner de Yankee Group.
"El software es un tipo de producto altamente complejo, en
donde los fallos son parte del negocio. No pienso que esto
sea un golpe muy grande. Habrán incontables cambios en como
las compañías utilicen este producto, y este problema
particular apenas es uno de ellos."
El 21 de octubre, Microsoft presentó su nueva suite de
Office, ofreciendo algunas innovadoras herramientas y
actualizaciones de las aplicaciones familiares, a los
millones de usuarios que adoptaron esta plataforma.
Las más significativas de las incorporaciones de "Microsoft
Office System", son el Live Communications Server 2003 y
Exchange Server 2003. Con el primero, Microsoft proporciona
capacidad de presencia a través de toda la suite de Office,
haciéndolo más fácil para que los negociantes lancen sesiones
de grupo de trabajo usando las aplicaciones que se extienden
desde Word, a PowerPoint, y la mensajería instantánea.
Asimismo, la mejora del Exchange Server, incluye bloqueo de
spam para incrementar la seguridad.
Traducido por Zeus
www.GorilaX.com
Articulo Original:
Patch Issued for Latest Microsoft Office Software
http://www.newsfactor.com/perl/story/22643.html
Descarga del parche:
Actualización de Office 2003: KB828041
http://www.microsoft.com/downloads/details.aspx?FamilyId=722C
7A55-E541-44CC-97CB-572859346DEE&displaylang=es
Más información:
http://office.microsoft.com
[Artículo publicado originalmente en
http://www.gorilax.com/articulo.php?sid=2970]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Wullik.B. Datos adjuntos: "MShelp.EXE"
_____________________________________________________________
http://www.vsantivirus.com/wullik-b.htm
Nombre: W32/Wullik.B
Tipo: Gusano de Internet
Alias: Wullik.B, W32.Wullik.B@mm, Win32/Wullik.B,
Bloodhound.W32.VBWORM, W32/Wukill.worm
Variantes: W32/Wullik.A, W32.Wullik@mm
Tamaño: 49,152 bytes
Fecha: 6/nov/03
Plataforma: Windows 32-bit
Reportado por: Symantec
Gusano escrito en Visual Basic, que se envía en forma masiva
a través del correo electrónico, a todos los contactos de la
libreta de direcciones de Windows. El mensaje contiene textos
en chino, mostrados como caracteres extraños en una
configuración de Windows en español (o en cualquier otro
idioma que no sea chino).
Asunto: MS?DOS????
Datos adjuntos: MShelp.EXE
Texto: (en chino)
Donde los caracteres "????" son chinos (o caracteres sin
sentido si no se tiene instalado ese idioma).
Sin embargo, aún a pesar del idioma del mensaje, se han
reportado varias incidencias de este gusano.
Cuando se ejecuta, se copia a si mismo en ubicaciones y
nombres, seleccionados al azar. Mientras el gusano se esté
ejecutando en memoria, cualquier intento de visualizarlo en
la carpeta en que se esté ejecutando con el Explorador de
Windows será inútil, ya que el gusano se copia inmediatamente
en otra carpeta, borrándose de la actual.
Bajo ciertas condiciones, el gusano puede copiarse a
disquetes, y también a recursos compartidos en una red.
Cuando se ejecuta por primera vez, se copia en las siguientes
ubicaciones:
c:\windows\mstray.exe
c:\windows\mshelp.exe
El icono de los archivos es similar al de las carpetas de
Windows, en un intento de engañar al usuario.
[ver imagen en http://www.vsantivirus.com/wullik-b.htm]
NOTA: "c:\windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "c:\windows" en Windows
9x/ME/XP o "c:\winnt" en Windows NT/2000).
Una vez en memoria, monitorea permanentemente la ventana
activa. Cuando una ventana queda en primer plano, el gusano
puede crear nuevas copias de si mismo, dependiendo del
contenido de la barra del título de dicha ventana.
Si el título de una ventana activa se refiere a la ubicación
actual del gusano, el mismo crea una nueva copia de si mismo
en otro directorio seleccionado al azar, con un nombre
también al azar. Luego ejecuta la nueva copia y finaliza la
anterior. La nueva copia del gusano, a su vez borra el
archivo en la carpeta anterior.
Por ejemplo, si el archivo actual es C:\WINDOWS\MSTRAY.EXE, y
usted abre una ventana con el explorador de Windows en la
carpeta C:\WINDOWS, el gusano se copia en C:\WINDOWS\TEMP\
con el nombre FGH.EXE. Luego, se ejecuta
C:\WINDOWS\SYSTEM32\FGH.EXE y éste borra el archivo anterior:
C:\WINDOWS\MSTRAY.EXE.
Si la barra del título de la ventana abierta indica una
ubicación diferente, entonces el gusano se copia en esa
ubicación con el mismo nombre de la carpeta y el atributo de
oculto (+H).
Por ejemplo, si la ventana del Explorador de Windows indica
C:\ARCHIVOS DE PROGRAMA, entonces el gusano se copia como
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS DE PROGRAMA.EXE. Este
archivo tendrá los atributos de oculto.
Esta técnica también le permite copiarse a unidades y
recursos compartidos en red, cada vez que se visualiza una
carpeta de ésta en una ventana de Windows.
Si la barra de título no indica un camino, el gusano puede
copiarse de la siguiente forma:
ABCwinfile.exe
ABCcomment.htt
ABCdesktop.ini
Donde ABC son los primeros tres caracteres de la barra de
título de la ventana.
Por ejemplo, si el título de la ventana actual es "Mis
documentos", entonces se crean los siguientes archivos:
Miswinfile.exe
Miscomment.htt
Misdesktop.ini
El .EXE es el propio gusano. El segundo archivo (.HTT), es
una plantilla HTML, que incluye un código JavaScript
detectado como "JS.Exception.Exploit". Este archivo es
utilizado para ejecutar al primero en sistemas que son
vulnerables a ese exploit.
También modifica el registro de Windows, agregando las
siguientes entradas para autoejercutarse en próximos
reinicios:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTimeXP = [nombre actual del gusano]
RavTimXP = [último nombre usado por el gusano]
Agrega las siguientes entradas, la primera para guardar su
propia configuración, la segunda para asegurarse de que
aparezca el camino completo en la barra del título del
explorador de Windows, y la última para que no se muestren
las extensiones de los archivos:
HKLM\Software\Microsoft
\Windows\CurrentVersion\Setup
RavTimXP
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\CabinetState
fullpath = 0x1
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
HideFileExt = 0x1
Hidden = 0x0
Luego, se envía a todos los contactos de la libreta de
direcciones, en un mensaje como el descripto antes.
* Reparación manual
* Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Finalizar el proceso en memoria del virus
* Windows 95, 98, Me, 2000 y XP
1. Actualice sus antivirus con las últimas definiciones,
luego reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:
RavTimeXP
RavTimXP
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Setup
5. Pinche en la carpeta "Setup" y en el panel de la derecha
busque y borre la siguiente entrada:
RavTimXP
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Antivirus
1. Actualice sus antivirus con las últimas definiciones.
2. Ejecútelos en modo escaneo, revisando todos sus discos.
3. Borre los archivos detectados como infectados.
4. Borre el archivo "ABCdesktop.ini" creado por el gusano
(ver descripción), donde ABC pueden ser tres caracteres
cualquiera. Por ejemplo, si el antivirus detecta el
componente HTT (gusano "JS.Exception.Exploit" en
"ABCcomment.htt"), entonces, también borre "ABCdesktop.ini"
en la misma carpeta.
5. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
6. Borre también los mensajes electrónicos similares al
descripto antes.
* Información adicional
* Actualizar Internet Explorer
Actualice su Internet Explorer según se explica en el
siguiente artículo:
http://www.vsantivirus.com/vulms03-032.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Spybot.W. Se propaga vía P2P, IRC, MSN, AIM, Yahoo
_____________________________________________________________
http://www.vsantivirus.com/spybot-w.htm
Nombre: W32/Spybot.W
Tipo: Gusano de Internet
Alias: WORM_SPYBOT.GEN, W32/Spybot-W
Plataforma: Windows 32-bit
Tamaño: 19 ~ 44 Kb
Fecha: 4/nov/03
Reportado por: Sophos
Se trata de una serie de una variantes de la familia de
gusanos W32/Spybot.fam, capaz de propagarse a través de redes
de intercambio de archivos P2P, canales de IRC (Internet
Relay Chat), Messenger y correo electrónico.
Cuando se ejecuta, este troyano se copia a si mismo en la
carpeta System de Windows, con el siguiente nombre:
wupdated.exe
Luego se registra a si mismo como un servicio (Windows Update
Service).
El gusano intenta copiarse también a todas las carpetas de
sistema de unidades de red con contraseñas débiles, para
luego iniciarse en dichas computadoras como el mismo servicio
(Windows Update Service).
Para intentar conectarse, el gusano utiliza los siguientes
nombres de usuario y contraseñas, en todas las combinaciones
posibles:
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
1
111
123
1234
123456
654321
admin
administrator
asdf
asdfgh
database
guest
hidden
owner
pass
pass123
password
password123
root
secret
server
sql
sqlagent
system
user
wwwadmin
También intenta propagarse vía IRC, modificando el archivo de
configuración del cliente de IRC mIRC. Todo usuario que se
una al mismo canal que el usuario infectado, recibirá un
mensaje para que descargue una copia del propio gusano.
Además, puede propagarse vía MSN Messenger, AIM (AOL Instant
Messenger) y Yahoo Messenger, enviando el siguiente mensaje:
hey, check out this funny pic:
http://www.rf-mods.com/bot.pif.
Posee un componente troyano con acceso backdoor vía IRC, que
permite la captura de todo lo tecleado por el usuario
infectado, además de permitir a un intruso el control remoto
de la computadora.
* Más información:
W32/Spybot.fam. Se propaga a través de KaZaa e IRC
http://www.vsantivirus.com/spybot-fam.htm
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Remoción del gusano utilizando "Process Explorer"
Cómo este gusano finaliza la ejecución de varias utilidades
propias de Windows, para quitarlo manualmente es necesario
utilizar herramientas de terceros. Se sugiere la herramienta
de uso gratuito "Process Explorer" (100 Kb), que puede ser
descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Una vez descargada dicha herramienta, cree una nueva carpeta,
copie allí el contenido del archivo .ZIP descargado y ejecute
el archivo PROCEXP.EXE.
Bajo la columna "Process" de la ventana superior de la
utilidad "Process Explorer", localice y "mate" (Kill
Process), los siguientes procesos (o los que aparezcan de
esta lista):
wupdated.exe
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system\wupdated.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre las entradas que
contengan el siguiente nombre de archivo:
wupdated.exe
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunService
5. Pinche en la carpeta "RunService" y en el panel de la
derecha, bajo la columna "Datos", busque y borre las entradas
que contengan el siguiente nombre de archivo:
wupdated.exe
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* El IRC y los virus
Se recomienda precaución al recibir archivos a través de los
canales de IRC. Sólo acepte archivos que usted ha pedido,
pero aún así, jamás los abra o ejecute sin revisarlos antes
con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar
respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su
configuración, funciones como "send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la
configuración de "DCC" para transferencia de archivos,
selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de
éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Troj/Java.Zaak.A. Applet de Java que modifica el IE
_____________________________________________________________
http://www.vsantivirus.com/java-zaak-a.htm
Nombre: Troj/Java.Zaak.A
Tipo: Caballo de Troya (Java)
Alias: JV/Zaak, Trojan.Java.Kazlite, Troj/Kazlite.A
Plataforma: Windows 32-bit
Tamaño: 13,151 bytes
Fecha: 13/oct/03
Reportado por: Network Associates
Se trata de un applet de Java (pequeño programa escrito en
Java), que cuando se ejecuta, cambia la configuración del
Internet Explorer, modificando además el archivo HOSTS.
El troyano modifica los siguientes parámetros:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\1
1C00 = 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\2
1C00 = 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Internet Settings\Zones\3
1C00 = 0
Esto deshabilita Java en las zonas 1, 2 y 3. En Internet
Explorer, las zonas de seguridad son las siguientes:
Zona 0 = Mi PC (nuestro equipo)
Zona 1 = Intranet local (sitios Web de la red local)
Zona 2 = Sitios de confianza (aquellos que sabemos seguros)
Zona 3 = Internet (todos los sitios que no estén en las
otras zonas)
Zona 4 = Sitios restringidos (sitios que sabemos
peligrosos)
El troyano también modifica la página de búsqueda y la de
inicio del Internet Explorer, cambiándola por la siguiente:
http://www.kazaa-lite.ws
Además, crea dos enlaces directos en la carpeta de Favoritos,
apuntando al mismo sitio.
Finalmente, el archivo HOSTS también es modificado para
apuntar a dicho sitio.
HOSTS es un archivo en formato texto, sin extensión, ubicado
en \windows\ o windows\system32\drivers\etc\, dependiendo de
la versión de Windows. Dicho archivo es usado por el sistema
operativo para asociar nombres de dominio con direcciones IP.
Si este archivo existe, el sistema lo examina antes de hacer
una consulta a un servidor DNS.
No posee rutina de propagación, pero un archivo infectado
podría ser enviado en forma premeditada o accidental, por
correo electrónico, o descargada de sitios maliciosos, o a
través de redes P2P.
* Reparación manual
Borre los accesos directos en la carpeta Favoritos, indicados
en la descripción.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\Zones
\1
3. Pinche en la carpeta "1" y en el panel de la derecha, bajo
la columna "Nombre", busque y cambie la siguiente entrada:
1C00 = 0
Por la siguiente (en hexadecimal):
1C00 = 20000
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\Zones
\2
5. Pinche en la carpeta "2" y en el panel de la derecha, bajo
la columna "Nombre", busque y cambie la siguiente entrada:
1C00 = 0
Por la siguiente (en hexadecimal):
1C00 = 10000 (o "00 00 01 00" sin las comillas)
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\Zones
\3
7. Pinche en la carpeta "3" y en el panel de la derecha, bajo
la columna "Nombre", busque y cambie la siguiente entrada:
1C00 = 0
Por la siguiente (en hexadecimal):
1C00 = 10000 (o "00 00 01 00" sin las comillas)
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde
Herramientas, Opciones de Internet, General, Página de
inicio, por una de su preferencia. O navegue hacia una página
de su agrado, pinche en Herramientas, Opciones de Internet,
General, y finalmente pinche en "Usar actual".
* Procedimiento para restaurar página de inicio y página de
búsqueda en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Pinche en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Pinche en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también
la página inicio" y seleccione el botón SI.
7. Pinche en "Aceptar".
* Modifique el archivo HOSTS
1. Busque el archivo HOSTS (sin extensión, no lo confunda con
HOSTS.SAM), en alguna de estas ubicaciones (según el sistema
operativo):
c:\windows\hosts
c:\windows\system32\drivers\etc\hosts
Edítelo con el bloc de notas eliminando todas las líneas que
hagan referencia a http://www.kazaa-lite.ws.
Nota: El archivo HOSTS normalmente no es utilizado en una
instalación doméstica y puede borrarlo. En caso de una red,
confirme con el administrador si el mismo es necesario.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Troj/Backdoor.Bionet.404. Troyano de acceso remoto
_____________________________________________________________
http://www.vsantivirus.com/back-bionet-404.htm
Nombre: Troj/Backdoor.Bionet.404
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.Bionet.404, Backdoor.Bionet.404, BackDoor-
FK.svr
Variantes: Backdoor.Bionet, Backdoor.Bionet.40a,
Backdoor.Bionet.314, Backdoor.Bionet.401,
Backdoor.Bionet.318, Backdoor.Bionet.312, Backdoor.Bionet.306
Fecha: 4/nov/03
Puerto: TCP/15348
Plataforma: Windows 32-bit
Tamaño: 341,790 bytes
Reportado por: Symantec
Variante de Backdoor.Bionet.40a, que permite el acceso no
autorizado a la computadora infectada. La presencia del
archivo NTDLL.EXE puede indicar una posible infección.
Cuando se ejecuta, el troyano se copia en el siguiente
archivo, con los atributos de solo lectura (+R), sistema (+S)
y oculto (+H):
c:\windows\system\ntdll.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "c:\winnt\system32" en Windows NT/2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
Crea la siguiente entrada en el registro para autoejecutarse
en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ntdll = ntdll.exe
Cuando se ejecuta, se instala como un servicio (disponible
para todos los usuarios de la computadora, y no visible en la
lista de tareas en Windows 9x y Me).
Luego, el troyano abre el puerto TCP/15348 para recibir las
instrucciones de un usuario remoto.
No posee rutina de propagación, pero un archivo infectado
podría ser enviado en forma premeditada o accidental, por
correo electrónico, o descargada de sitios maliciosos, o a
través de redes P2P.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados (para ver este archivo, que está
oculto, configure Windows como se explica en "Mostrar las
extensiones verdaderas de los archivos"):
c:\windows\system\ntdll.exe
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
ntdll
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(posee algunas limitaciones). Si instala ZA, no active ICF
(Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
6 - W32/Randex.Y. Se propaga por redes, se controla por IRC
_____________________________________________________________
http://www.vsantivirus.com/randex-y.htm
Nombre: W32/Randex.Y
Tipo: Gusano de Internet
Alias: W32.Randex.Y, Backdoor.IRCBot.gen
Tamaño: 144,656 bytes
Plataforma: Windows 32-bit
Fecha: 4/nov/03
Este gusano se propaga a través de redes, copiándose a si
mismo en los siguientes caminos:
\Admin$\system32\netd32.exe
\c$\winnt\system32\netd32.exe
Tiene capacidades de troyano, y puede recibir instrucciones
desde un canal de IRC (Internet Relay Chat) específico. Una
de esas instrucciones es la que ocasiona la propagación a
través de los recursos mencionados.
Cuando se ejecuta por primera vez, se copia en la siguiente
ubicación:
c:\windows\system\xbox64.exe
NOTA: "C:\Windows\System" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows
9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP y Windows Server 2003).
Un usuario remoto puede realizar las siguientes acciones:
1. NTSCAN: calcula direcciones IP al azar para seleccionar la
computadora a infectar.
Intenta autenticarse en cada dirección IP creada, usando
diferentes contraseñas.
Luego se copia a si mismo en las computadoras cuyas
contraseñas de administrador sean débiles en la siguiente
ubicación, donde [IP] es la dirección IP autenticada:
\\[IP]\Admin$\system32\netd32.exe
\\[IP]\c$\winnt\system32\netd32.exe
2. SYN: Realiza ataques del tipo "syn flood" utilizando
paquetes SYN de 55808 bytes.
3. SYSINFO: Obtiene información de su víctima, tales como
velocidad de la CPU, memoria disponible, etc.
También intenta robar las llaves de registro de algunos
conocidos juegos.
Para ejecutar el gusano, crea una tarea programada, y también
agrega las siguientes entradas en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Iamnacho On Irc.MusIrc.com Is a Homosexual! = xbox64.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Iamnacho On Irc.MusIrc.com Is a Homosexual! = xbox64.exe
También crea la siguiente entrada con datos de su
configuración:
HKLM\SOFTWARE\Krypton
Finalmente se conecta a un canal de IRC específico para
recibir instrucciones remotas. Entre ellas las que le
permiten propagarse a otros recursos compartidos como vimos
al principio.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrar los archivos creados por el gusano.
* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
netd32.exe; winnt32.dat; xbox64.exe
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), lo siguiente:
netd32.exe; winnt32.dat; xbox64.exe
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Iamnacho On Irc.MusIrc.com Is a Homosexual!
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Iamnacho On Irc.MusIrc.com Is a Homosexual!
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Krypton
7. Pinche en la carpeta "Krypton" y bórrela.
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1218 Año 8, Viernes 7 de noviembre de 2003
|
VSantivirus No. 12
Responder a este mensaje
