Mostrando mensaje 274     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1225 Año 8, Viernes 14 de noviembre de 2003 Fecha: Viernes, 14 de Noviembre, 2003  12:40:27 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1225 Año 8, Viernes 14 de noviembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - El software antivirus actual no es suficiente 2 - Correo: "Soy usuario, no programador" 3 - W32/Mimail.I. Asunto: "Your Paypal.Com Account Expires" 4 - W32/Autex.A. Se copia en toda la red como \auto.exe _____________________________________________________________ 1 - El software antivirus actual no es suficiente _____________________________________________________________ http://www.vsantivirus.com/fdc-nosuficiente.htm El software antivirus actual no es suficiente Por Fernando de la Cuadra (*) Fdelacuadra@pandasoftware.com La protección antivirus en un ordenador tiene como objetivo impedir la entrada de virus. Su utilidad está más que justificada, ya que numerosos códigos víricos pueden hacer que la información en el sistema infectado se vea seriamente dañada. Últimamente hemos presenciado la aparición de otros tipos de códigos maliciosos que no forzosamente destruyen la información de nuestros sistemas, o, por lo menos, de manera directa, pero también deben estar en el punto de mira de los antivirus. Hace unos años, cuando la amenaza más importante a la que se enfrentaban los ordenadores eran únicamente los virus, se desarrolló una nueva categoría de software específico para combatirlos: los antivirus. La posterior proliferación de otras amenazas, como los gusanos y los troyanos, hizo que el mismo antivirus incorporara nuevas características para proteger los sistemas de dichas amenazas. Aunque el nombre "antivirus" permaneció, la defensa necesitaba ampliarse a otros elementos que, en sentido estricto, no eran virus. Así, si siguiéramos una definición purista acerca de los gusanos, encontraríamos que un gusano únicamente busca multiplicarse a sí mismo sin dañar la información de los ordenadores que utiliza como plataforma, acción típica de los virus. En este caso –y obviando que muchos gusanos también alteran información-, un antivirus no debería ocuparse de ellos, ya que los datos estarían a salvo. No obstante, los antivirus sí que detectan y eliminan gusanos, ya que no sólo se propagan, sino que, hoy en día, también suelen llevar a cabo acciones destructivas en los ordenadores por los que se difunden. Su detección, como apuntábamos, es necesaria porque un gusano puede llegar a colapsar todo un sistema de correo electrónico en muy pocos minutos. Y el daño que causa, aunque no sea directo, es claramente notable y. además, cuantificable económicamente. Lo mismo ocurre con los caballos de Troya. Aunque "per se" no son dañinos, existe la posibilidad de que un hacker pueda utilizarlos para llevar a cabo acciones perjudiciales, bien sea en el ordenador en el que se han instalado, o en otros a los que el atacante pueda tener acceso a través del sistema infectado. En la actualidad, a estos tres tipos de software dañino hay que añadir otros -y no digo ya solamente código ejecutable- que pueden causar algún tipo de problema o pérdida en un sistema informático. Este tipo de software es lo que se viene llamando "Malware", una combinación de los términos "Malicious" y "Software". Dentro de este campo se engloban: spyware, adware, bromas, spam, etc. En resumen, todo aquello que hace que un sistema determinado lleve a cabo tareas que puedan causar molestias al usuario, o que sean realizadas sin su conocimiento. En definitiva, el malware es aquel software que, de manera maliciosa, no respeta la intimidad, o bien disminuye -con ánimo de lucro- la productividad de un usuario o de un sistema informático. La falta de respeto a la intimidad se hace patente en adware y spyware, donde se obtiene información de manera no autorizada. La disminución de productividad es aún más manifiesta en el spam y en algunos hoaxes, donde se envía un correo a un usuario con el fin último de conseguir un beneficio económico. Evidentemente, la aparición del malware hace que los antivirus tengan que dar un nuevo salto para aumentar la protección que ofrecen a los usuarios. Aunque la palabra "antivirus" parezca que limita la acción del software únicamente al combate contra los virus, su función real hoy en día, tal y como hemos visto, vuelve a ampliarse tal y como ocurrió con los gusanos y troyanos. * Spam En muchos casos se alega que el spam no es malware, ya que no contiene ningún tipo de software dentro de él. Esto es cierto en parte, ya que también puede ser dañino, simplemente observando la cantidad de espacio que ocupa en ordenadores y servidores y el tiempo que lleva su eliminación. Si un empleado de cualquier empresa tarda al cabo del día 5 minutos en borrar el correo electrónico no deseado, es muy sencillo calcular el impacto económico causado por el spam: esos 5 minutos diarios pueden llegar a convertirse en más dos jornadas laborales dedicadas únicamente al spam al cabo del año (pensando en jornadas de 8 horas y 200 días laborables al año). Basta con calcular el salario medio diario en una empresa para hacernos una idea del dinero que puede llegar a perderse por este concepto. (Según el cálculo anterior podría alegarse que una de las mayores pérdidas en cualquier empresa es la máquina de café, ya que suele utilizarse más tiempo en tomar café que en eliminar el spam, pero la toma de cafeína está aceptada como beneficiosa tanto por empresarios como por empleados, mientras que la eliminación del correo no deseado no complace a ninguna de las dos partes). El correo basura tiene una serie de características que lo hacen relativamente fácil de identificar. Prácticamente todos ellos quieren, mediante mensajes muy parecidos, inducir al usuario para que compre algún producto. Basándose en la estructura y contenido de estos mensajes, un software especializado puede elaborar un determinado perfil del correo recibido y, en función de este perfil, catalogarlo como spam. El principal problema de esta elaboración de perfiles es la posibilidad de etiquetar como correo no deseado algún mensaje que sí es necesario para el trabajo de un determinado usuario. Por ejemplo, no podría eliminarse sistemáticamente correo electrónico con la palabra "Viagra", típica del spam, ya que en ciertos casos esta palabra podría formar parte de una comunicación formal. El análisis debe basarse en más de una palabra, o bien en la aparición combinada de distintas palabras o formatos del correo. Un buen sistema de detección de correo electrónico no deseado debe ofrecer al usuario la posibilidad de aprendizaje. Es decir, que el sistema, en el caso de detectar un mensaje como spam sin serlo, pueda "estudiar" y aprender en ese correo las características que lo convierten en interesante para el usuario. Así, en las próximas ocasiones que vuelva a recibir un mensaje de este tipo no lo rechazará. El sistema también debe aprender de la situación inversa, es decir, de los llamados "falsos negativos". En el caso de que un usuario desee recibir determinados tipos de correos electrónicos -que en un principio cabría calificar como spam- el sistema deberá reconocer sus características y permitir al usuario su adecuada recepción. No debemos olvidar que la mayor parte del spam está formado por ofertas y comunicaciones comerciales que pueden ser del agrado del usuario. * Spyware / Adware El spyware o adware es un tipo de software maligno que es utilizado por algunos comerciantes sin escrúpulos para espiar el comportamiento de los usuarios cuando navegan por Internet. Estas aplicaciones, llamados también "programas espía", son malware, ya que no permiten que el usuario disfrute de una mínima intimidad a la hora de utilizar La Red. El spyware y el adware se centran fundamentalmente en los clics que los usuarios hacen en determinados tipos de publicidad y en el tiempo que pasa viendo determinadas páginas. Con esos datos y la dirección de correo electrónico del usuario espiado, elaboran unos perfiles de usuario que luego envían a los creadores del programa espía. De esta manera, consiguen grandes bases de datos con perfiles bastante precisos de consumidores que luego son vendidas a anunciantes. * Hoaxes En la era de Internet todavía circulan numerosas leyendas en las que se describen las desgracias que les ocurrirán a nuestros ordenadores si se abre un correo electrónico que venga con un determinado asunto: se borrarán discos duros, se estropearán monitores, se inutilizarán conexiones de banda ancha... La inmensa mayoría de la información que circula por Internet alertando sobre nuevos virus (fundamentalmente a través del correo electrónico) suele ser radicalmente falsa y recibe el nombre de "hoax" (término inglés cuyo significado es "tomadura de pelo"). Alguien quiere gastar una broma y lo envía a todas las personas que puede, evidentemente con la sugerencia de que lo reenvíen a todas las direcciones posibles, pero... ¿qué gana con ello? A veces, se trata tan solo de pasar un rato "divertido". Para algunos, el beneficio llega después: correos enviados y vueltos a reenviar cientos de veces, con inmensas listas de distribución a las que luego se puede hacer un e-mailing con fines publicitarios, por ejemplo. Esta actitud puede degenerar en pánico en situaciones de incertidumbre y temor generalizado a un ataque terrorista, pongamos por caso, lo que favorece la proliferación de falsas alarmas. Por ello, es preciso distinguir claramente entre una genuina alerta de virus y un hoax. El fenómeno de los hoaxes es bastante más grave y difícil de combatir de lo que parece, puesto que muchos de ellos siguen circulando libremente por la Red sin que nadie se muestre capaz de ponerles coto. De hecho, numerosos expertos consideran que esto es poco menos que imposible, aunque entre todos podemos contribuir a disminuir el número de hoaxes circulando por Internet. A pesar de que las falsas alarmas de virus son una de las modalidades preferidas por los embaucadores de Internet, hay otros tipos de bulos que conviene diferenciar para no añadir aún más confusión a todo este galimatías. Algunos de ellos no son sino variedades de hoaxes, pero otros pueden tener distintas ramificaciones, las cuales pueden llegar a poner en peligro la seguridad de un sistema informático. Los hoaxes deben encuadrarse en la categoría de las llamadas "leyendas urbanas", que florecen al calor de la actual expansión de medios de comunicación tales como Internet. A partir de ahí surgen distintos tipos de bulos, según la causa que los origina y la clase de mensaje que generan. La necesidad de luchar contra ellos salta a la vista, ya que además del problema de pérdida de tiempo, similar al ocasionado por el spam, se añade la posibilidad de generar un estado de alarma y preocupación que en ningún caso es beneficioso ni para la empresa (o sus empleados), ni para el usuario doméstico. * Conclusión La protección antivirus instalada en la mayor parte de las empresas cumple perfectamente su misión de proteger contra los virus, gusanos y troyanos. Sin embargo, hoy en día, debemos luchar contra muchos otros peligros que, si bien no van a dañar directamente los sistemas, pueden causar otros perjuicios indirectos. Una correcta instalación de seguridad debe ocuparse de muchas más cosas que los virus, lo que repercutirá en una mayor productividad y en una mayor tranquilidad de todos los estamentos relacionados con la seguridad. (*) Fernando de la Cuadra es Editor Técnico Internacional de Panda Software (http://www.pandasoftware.com) * Temas relacionados: Sistema que detiene los virus antes que lleguen al PC http://www.vsantivirus.com/12-11-03.htm El problema del Spyware http://www.vsantivirus.com/mr-spyware.htm SPYWARE (software espía) y ADWARE (publicidad no deseada) http://www.vsantivirus.com/jm-spyware.htm El peligro del Spyware http://www.vsantivirus.com/agr-peligro-spyware.htm El Monólogo de un Spyware http://www.vsantivirus.com/lz-mono-spyware.htm Las aplicaciones P2P que usted no debería usar http://www.vsantivirus.com/lista-p2p.htm Internet y los virus "HOAX" http://www.vsantivirus.com/08-03-01.htm ¿Qué diferencia hay entre un gusano y un HOAX? http://www.vsantivirus.com/hoax-gusano.htm HOAXES http://www.vsantivirus.com/hoaxes.htm Maldito, maldito spam (Por Eugenio Siccardi) http://www.vsantivirus.com/sicc-malditospam.htm En la lucha contra el SPAM, ¿hay secuelas? http://www.vsantivirus.com/lz-spam-secuelas.htm Artillería pesada contra el "spam" http://www.vsantivirus.com/mm-spam.htm Cómo defendernos del SPAM http://www.vsantivirus.com/faq-spam.htm Consejos para prevención de SPAM en pequeñas empresas http://www.vsantivirus.com/spam-empresas.htm La solución de un lector para el correo SPAM http://www.vsantivirus.com/reglas-spam.htm La plaga de Internet: el SPAM http://www.vsantivirus.com/agr-spam.htm El SPAM ya es delito http://www.vsantivirus.com/30-12-00.htm Los creadores de virus hacen dinero, gracias a nosotros http://www.vsantivirus.com/trojan-spam.htm El nuevo SPAM ya es un gran negocio http://www.vsantivirus.com/spam-mensajeria.htm Lo que nos cuesta el spam http://www.vsantivirus.com/ev-jll-spam.htm La opinión de Bill Gates sobre el SPAM http://www.vsantivirus.com/cs-gates-spam.htm Cómo acabar con el SPAM de una vez por todas... o casi http://www.vsantivirus.com/filtrosbayes.html La guerra contra los spammers parece perdida http://www.vsantivirus.com/ev-spammers-guerra.htm Algunos consejos sobre correo basura (SPAM) http://www.vsantivirus.com/10-01-01.htm ¡Que el SPAM pague! http://www.vsantivirus.com/13-12-02.htm Inteligencia artificial para luchar contra el SPAM http://www.vsantivirus.com/mm-ia-antispam.htm Por favor... NO REENVIE este mensaje a sus conocidos http://www.vsantivirus.com/hoax-spam.htm Nace el Spam postal automático (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-spampostal.htm El SPAM también trae virus http://www.vsantivirus.com/spam-virus.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Correo: "Soy usuario, no programador" _____________________________________________________________ http://www.vsantivirus.com/correo14-11-03.htm Correo: "Soy usuario, no programador" (Del correo de lectores) Buen día, felicitaciones por ese correo tan puntual e instructivo. Si bien en varias ocasiones no hay tiempo para revisarlo a profundidad, es una excelente referencia sobre el acontecer mundial en estos avatares de la TI. Me inquieta una tendencia que he observado durante los últimos años y mas específicamente con el creciente mercadeo de Linux como sistema operativo y el contacto que con él he tenido hasta la fecha. Mi planteamiento y crítica busca respuestas y quizás "tenga yo" un error de conceptos o una visión muy simplista sobre el asunto, más así lo siento en el futuro mediato. La debilidad de los sistemas de cómputos y las computadoras era el requerir un elevado nivel técnico para operarlas "satisfactoriamente" (1980 y antes), era necesario conocer el equipo perfectamente y "conectarlo" debidamente. La incompatibilidad campeaba entre las oficinas (bases de datos, sistemas operativos y equipos), ni pensar en transportar la data, en fin, muchos especialistas especializados en poco; más aun así el trabajo estaba a tiempo. Una serie de eventos poco relacionados, crearon la masa critica para empujar a la industria hacia la estandarización, creación de normas y explorar nuevos mercados hasta ese momento inexistentes, debido al elevado costo y necesidad de inversión en el desarrollo y mantenimiento de "computadoras". Poco se puede ahondar entre lo ya descrito en la bibliografía (extensa por demás) y que para muchos es historia presencial, mas una serie de eventos nos brindan hoy un bosque de múltiples caminos. Por un lado tenemos programas y tecnología blindada en "copyright", que continuamente es vulnerada, causando perdidas de difícil cualificación, asociada en mucho al elevado costo para el usuario final. Por otro una creciente industria de programas llamados de código abierto, o "free", el cual podemos usar sin mayor problema, solo bajarlo y ya. ¿Realmente el código abierto es bajar y ya?, tengo mis reservas. Una fortaleza de los programas "licenciados", es su facilidad de instalación y uso (dicen ellos), esa figurilla común en las cajas "plug and play" (P&P), debería ser así, más en algunos casos no resulta tan "plug and play". Con el P&P, llegamos al nivel de usuario "instalando" programas y equipos en segundos, sin mayor dificultad que reiniciar su computadora para que el sistema operativo "reconozca" lo nuevo. En el llamado código abierto (experiencia personal), debo identificar búfer, dirección, tamaño de ... es decir, vuelvo a los 80, cuando debía conocer a la perfección mi equipo para decirle (en su lenguaje) que ahí estaba el nuevo paquete de memoria y que es de 256 megas... no me cuadra esto, nuevamente subo a nivel de programador e incluso diseñador (manuales y esquemas...). Claro no todo es "cantar y bordar", el P&P tiene límites, asociados ellos a rendimiento (nanosegundos o micro...), espacio en memoria (cada día mas) y la estabilidad del sistema, para muchos esa odiosa ventana azul que muchos conocemos y horas de nuestras vida nos ha consumido. Yo mantengo la tesis de que soy usuario, no programador; que al momento de usar Internet y programas con "copyright", soy diseñador de soluciones, no programador; mi punto es concreto, las computadoras (y sus programas) están allí para resolver las abstracciones de la realidad que consideramos problemas y que, estas abstracciones, necesitan de información para ser resueltas, con esa línea de pensamiento, el tren que llegue primero será el que tome de resto. Leeré cómodamente lo que se hace en el mercado con los programas de código abierto, su uso en diversos dispositivos (portátiles, microondas, neveras, teléfonos celulares, PDA...) y de cómo las incidencias de virus crecen exponencialmente, reportes de robos de información y demás avatares que hoy nos son lugar común y endosamos a la mala programación del kernel de "Windows", obviando a la constante de la ecuación, el usuario final, quien con su higiene de uso, expone contagios y debilidades de los sistemas, estén estos basados en programas con "copyright" o de código abierto. Luis Conde lconde@ucab.edu.ve (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Mimail.I. Asunto: "Your Paypal.Com Account Expires" _____________________________________________________________ http://www.vsantivirus.com/mimail-i.htm Nombre: W32/Mimail.I Tipo: Gusano de Internet, troyano robador de información Alias: Mimail.I, Win32/Mimail.I, WORM_MIMAIL.I, W32/Mimail.i@MM, W32.Paylap@mm, I-Worm.Paylap Fecha: 13/nov/03 Plataforma: Windows 32-bit Tamaño: 12,832 bytes Variante de W32/Mimail, que se propaga masivamente por correo electrónico, en un mensaje anunciando la expiración de la cuenta del usuario en Paypal, una conocida plataforma de pago vía Internet. Al ejecutarse el adjunto, el gusano intenta robar la información de la tarjeta de crédito del usuario. El ejecutable está comprimido con la utilidad UPX, y a diferencia de versiones anteriores del Mimail, no es un archivo .ZIP. El mensaje enviado por el gusano, posee estas características: De: PayPal.com [donotreply@paypal.com] Asunto: YOUR PAYPAL.COM ACCOUNT EXPIRES Texto: Dear PayPal member, PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with the email address <dirección del destinatario> will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information. We are taking these actions because we are implementing a new security policy on our website to insure everyone's absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure. IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now. DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received. Thank you for using PayPal. Datos adjuntos: [uno de los siguientes] www.paypal.com.scr paypal.asp.scr La segunda extensión queda oculta en una instalación por defecto de Windows (ver en las referencias "Mostrar las extensiones verdaderas de los archivos"). Si se hace doble clic sobre el adjunto, el gusano se ejecuta y se produce la infección. Cuando ello sucede, se muestra una ventana que simula ser una página de Paypal, donde se le solicita al usuario el ingreso de la información de su tarjeta: Título de la ventana: PayPal Secure Application El formulario solicita la siguiente información en la primer pantalla: Credit Card Number PIN CVV Code Expire date El código CVV es un código adicional de tres dígitos impreso en el reverso de la tarjeta, que no es registrado durante las transacciones. [ver imagen http://www.vsantivirus.com/mimail-i.htm] Si todos los campos son llenados, y el usuario pincha en el botón [NEXT >], el gusano despliega un mensaje anunciando que la cuenta ha sido actualizada satisfactoriamente: Your account has been updated successfully! Press 'OK' to close this window. [ Ok ] La información obtenida es guardada en un archivo llamado PPINFO.SYS, ubicado en la carpeta de Windows del equipo infectado, para luego ser enviada a determinadas direcciones. NOTA: Recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente, y mucho menos datos privados tan sensibles como estos. Luego de ejecutarse, el gusano se copia a si mismo en la siguiente ubicación: c:\windows\svchost32.exe También crea los siguientes archivos: c:\pp.gif c:\pp.hta c:\ppinfo.sys c:\windows\ee98af.tmp c:\windows\el388.tmp c:\windows\zp3891.tmp NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). PP.GIF y PP.HTA contienen la imagen (logo de Paypal) y el código HTML para la falsa ventana ya descripta con el título "PayPal Secure Application". PPINFO.SYS, como ya dijimos, almacena la información robada con los datos de la tarjeta de crédito del usuario. EL388.TMP contendrá las direcciones de correo a las que se enviará al propagarse en forma masiva. El gusano modifica luego la siguiente entrada en el registro para ejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SvcHost32 = c:\windows\svchost32.exe El gusano se registra a si mismo como un servicio en Windows 95, 98 y Me, quedando oculto en la lista de tareas (CTRL+ALT+SUPR). Cada vez que se ejecuta, el gusano examina si existe una conexión activa a Internet intentando conectarse a www.akamai.com. Si existe la conexión, el gusano inicia tres hilos de ejecución simultáneos para enviar mensajes y propagarse a si mismo. Primero examina si existe PPINFO.SYS (que contiene la información robada al usuario). En caso de existir, intenta enviar este archivo a varias direcciones incluidas en su código (podrían ser más direcciones): cccash@centrum.cz faisuck@centrum.cz iostics@centrum.cz mced4cc@centrum.cz mekayamo@centrum.cz mystics@mail15.com nakayamo@centrum.cz need4cc@mail15.com xacash@centrum.cz Al mismo tiempo, para propagarse, busca las direcciones de correo a las que se enviará, en archivos de diferentes carpetas de la máquina infectada. Para ello examina todos los archivos que NO tengan las siguientes extensiones: .avi .bmp .cab .com .dll .exe .gif .jpg .mp3 .mpg .ocx .pdf .psd .rar .tif .vxd .wav .zip Estas direcciones serán almacenadas en el archivo EL388.TMP. Para el envío de los mensajes, emplea su propio motor SMTP, por lo que no depende del programa de correo instalado. La rutina de envío, es procesada luego de una hora, tiempo en el que el gusano permanece en estado latente. El gusano no examina si ya está instalado en memoria, motivo por el cuál podrían ejecutarse varios simultáneamente. En ese caso el usuario notaría una degradación en el rendimiento del equipo. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\pp.gif c:\pp.hta c:\ppinfo.sys c:\windows\ee98af.tmp c:\windows\el388.tmp c:\windows\svchost32.exe c:\windows\zp3891.tmp NOTA: En algunas versiones de Windows, existe un archivo legítimo llamado SVCHOST.EXE, no lo borre por error. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: SvcHost32 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Autex.A. Se copia en toda la red como \auto.exe _____________________________________________________________ http://www.vsantivirus.com/autex-a.htm Nombre: W32/Autex.A Tipo: Gusano de Internet Alias: W32.Autex.Worm, Worm.Win32.Autex, Win32/Autex.A Fecha: 13/nov/03 Plataforma: Windows 32-bit Tamaño: 147,973 bytes Reportado por: Symantec Este gusano, escrito en Visual Basic, se copia a si mismo a todas las unidades de red mapeadas. Al ejecutarse deshabilita la edición del registro, y modifica la página de inicio del Internet Explorer. El gusano enumera todas las unidades de red accesibles (D:, E:, etc.), e intenta copiarse en cada una de ellas como AUTO.EXE. También copia un archivo AUTORUN.INF, para autoejecutarse en cada unidad accedida: d:\auto.exe d:\autorun.inf e:\auto.exe e:\autorun.inf [...] z:\auto.exe z:\autorun.inf El archivo AUTORUN.INF solo contiene esta instrucción: OPEN = auto.exe También intentará copiarse en las siguientes ubicaciones del disco duro: c:\archivos de programa\Auto.exe c:\windows\Auto.exe c:\windows\All Users\Desktop\Sysboy.exe c:\windows\All Users\Start Menu\Programs\Auto.exe c:\windows\Start Menu\Programs\Auto.exe c:\windows\Desktop\Sysgril.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Agrega también, cualquiera de las siguientes entradas al registro de Windows: Explorer = [camino y nombre del gusano] Systry = [camino y nombre del gusano] Systryt = [camino y nombre del gusano] rundll32 = [camino y nombre del gusano] rundll64 = [camino y nombre del gusano] En las siguientes claves: HKLM\Software\Microsoft\Windows \CurrentVersion\Run HKLM\Software\Microsoft\Windows \CurrentVersion\RunServices HKLM\Software\Microsoft\Windows \CurrentVersion\Runonce HKLM\Software\Microsoft\Windows \CurrentVersion\Runonceex HKLM\Software\Microsoft\Windows \CurrentVersion\Runservicesonce De ese modo se autoejecutará en cada reinicio del sistema. También crea y/p modifica las siguientes entradas, con lo cuál cambia la página de inicio del Internet Explorer, y deshabilita la herramienta de edición del registro (REGEDIT), entre otras cosas: HKLM\Software\Microsoft\Internet Explorer\Main Start Page = http:/ /xxxwwwjjjhd.20forfree.com HKLM\Software\Microsoft\Internet Explorer\Main Dowload Directory = c:\windows HKEY_CLASSES_ROOT\txtfile\shell\open\command first home page = [camino y nombre del gusano] HKEY_CLASSES_ROOT\swffile\shell\open\command first home page = [camino y nombre del gusano] HKEY_CLASSES_ROOT\mp3file\shell\open\command first home page = [camino y nombre del gusano] HKEY_CLASSES_ROOT\dllfile\shell\open\command first home page = [camino y nombre del gusano] HKEY_CLASSES_ROOT\htmfile\shell\open\command first home page = [camino y nombre del gusano] HKCU\Software\Microsoft\Windows \CurrentVersion\Policies\System DiableRegistryTools = "111" HKLM\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer NoFolderOptions = "111" HKCU\Software\Microsoft\Windows\CurrentVersion \Policies\winoldapp norealmode = "111" HKLM\Software\CLASSES\Directory\shell\Winamp.Play HKLM\Software\CLASSES\Directory\shell\Winamp.Enqueue HKLM\Software\CLASSES\Directory\shell\Winamp.Bookmark HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} HKCR\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D} HKLM\Software\Microsoft\Windows \CurrentVersion\Winlogon legalnoticecaption = [basura] legalnoticetext = [basura] HKLM\Software\Microsoft\Windows NT \CurrentVersion\Winlogon legalnoticecaption = [basura] legalnoticetext = [basura] * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados 4. Reinicie su computadora * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Descargue el siguiente archivo (repara.reg): http://www.videosoft.net.uy/repara.reg 2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro. 3. Ejecute el editor de registro. Desde una ventana MS-DOS escriba REGEDIT y pulse ENTER 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion 5. Pinche en la carpeta "CurrentVersion" para acceder a cada una de las siguientes carpetas (dentro de "CurrentVersion"): \Run \RunServices \Runonce \Runonceex \Runservicesonce 6. Pinche alternativamente en las carpetas "Run", "RunServices", "Runonce", "Runonceex" y "Runservicesonce" y en el panel de la derecha busque y borre toda entrada similar a las siguientes: Explorer = [camino y nombre del gusano] Systry = [camino y nombre del gusano] Systryt = [camino y nombre del gusano] rundll32 = [camino y nombre del gusano] rundll64 = [camino y nombre del gusano] 7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \CLASSES \Directory \shell 8. Pinche en la carpeta "shell" y borre toda entrada con los siguientes nombres: Winamp.Play Winamp.Enqueue Winamp.Bookmark 9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \CLSID 10. Pinche en la carpeta "CLSID" y borre las siguientes entradas: {871C5380-42A0-1069-A2EA-08002B30309D} {20D04FE0-3AEA-1069-A2D8-08002B30309D} 11. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Winlogon 12. Pinche en la carpeta "Winlogon" y en el panel de la derecha busque y borre las siguientes entradas: legalnoticecaption legalnoticetext 13. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon 14. Pinche en la carpeta "Winlogon" y en el panel de la derecha busque y borre las siguientes entradas: legalnoticecaption legalnoticetext 15. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos del directorio raíz de todas las unidades de disco, locales y mapeadas: \auto.exe \autorun.inf También borre los siguientes archivo: c:\archivos de programa\Auto.exe c:\windows\Auto.exe c:\windows\All Users\Desktop\Sysboy.exe c:\windows\All Users\Start Menu\Programs\Auto.exe c:\windows\Start Menu\Programs\Auto.exe c:\windows\Desktop\Sysgril.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o pinche en "Página en blanco"). O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual". * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1225 Año 8, Viernes 14 de noviembre de 2003