Mostrando mensaje 295     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1246 Año 8, Viernes 5 de diciembre de 2003 Fecha: Viernes, 5 de Diciembre, 2003  00:08:51 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1246 Año 8, Viernes 5 de diciembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - PCs con troyanos envían uno de cada 3 mensajes de spam 2 - W32/Memas.A. Se propaga por e-mail, e infecta archivos 3 - W32/Gaobot.CK. Se copia como "avapsvc.exe" 4 - W32/Gaobot.CJ. Se copia como "msasm.exe" _____________________________________________________________ 1 - PCs con troyanos envían uno de cada 3 mensajes de spam _____________________________________________________________ http://www.vsantivirus.com/dt05-12-03.htm PCs con troyanos envían uno de cada 3 mensajes de spam Fuente: diarioti.com (*) http://www.diarioti.com/ Uno de cada tres mensajes de correo electrónico no solicitado –o spam– proviene de PCs infectados por troyanos. Los distribuidores de spam utilizan así los PCs y conexiones de usuarios incautos para distribuir su publicidad. SANTIAGO: Tal es la conclusión de un informe elaborado por la compañía de seguridad informática Sophos. "Un gran número de usuarios de conexiones de banda ancha no aseguran sus PCs adecuadamente. El 30% de todo el spam es enviado desde PCs infectados", escribe Graham Cluley, experto de Sophos, en un comunicado. Los distribuidores de spam se valen de la falta de conocimientos sobre seguridad de los usuarios de Internet para enviar el correo no solicitado, que inunda buzones y servicios de e-mail en todo el mundo. Así, un PC que no esté protegido con software de seguridad puede ser infectado con troyanos, que los distribuidores de spam usan para controlarlo vía Internet. La mayoría de los proveedores de conexión a Internet configura sus redes y servidores de forma que el correo enviado desde un PC particular conectado a la red es retransmitido automáticamente a los destinatarios. De esa forma, un mail enviado al servidor de un proveedor de conexión alcanzará, por norma general, a todos los destinatarios, cumpliendo así los deseos del distribuidor de spam. Para evitar la situación anterior, Cluley recomienda instalar software antivirus y cortafuegos, y mantenerlos constantemente actualizados. Enlaces de interés: www.sophos.com (*) Este artículo fue publicado originalmente en DiarioTI, y se reproduce en VSAntivirus respetando las condiciones legales exigidas por dicha publicación: http://www.diarioti.com/gate/legal.php (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Memas.A. Se propaga por e-mail, e infecta archivos _____________________________________________________________ http://www.vsantivirus.com/memas-a.htm Nombre: W32/Memas.A Tipo: Gusano de Internet y virus infector de ejecutables Alias: W32.Memas@mm, W32/Memas@MM, Win32/Memas.A Fecha: 4/dic/03 Plataforma: Windows 32-bit Tamaño: 221,204 bytes Gusano y virus, escrito en Visual C++, que se propaga por correo electrónico, e infecta archivos ejecutables en la unidad C:\ y en todos los recursos compartidos en red. Como gusano, se propaga en un mensaje como el siguiente: Asunto: Hi Friend Texto: Please See The Attachment Datos adjuntos: NOTES.EXE El adjunto también puede tener el nombre de alguno de los archivos infectados, y muestra la fotografía de un hombre como icono. [ver imagen en http://www.vsantivirus.com/memas-a.htm] El gusano libera un script de Visual Basic (VBS): c:\femail.vbs Este archivo contiene la rutina de envío masivo a través del correo electrónico. Al ejecutarse, se envía el mensaje anteriormente descripto a todos los usuarios de la libreta de direcciones de Windows, utilizando las funciones MAPI de Windows. MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc. Cuando el envío finaliza, el gusano muestra una ventana con el siguiente texto: hi Important !!! Please Read this The Next is in Arabic: [siguen varias líneas de caracteres indescifrables en computadoras sin el idioma mencionado] [ OK ] El gusano busca luego en el directorio "C:\" y en todos los recursos compartidos en red abiertos, archivos ejecutables y los infecta, agregando su código al comienzo de los mismos. Como marca de infección agrega el texto "ShohdiEmail" al final de los mismos. Los archivos infectados aumentan 45,076 bytes en su tamaño, y la fecha y hora de todos los infectados es la misma. Evita infectar los archivos en aquellas carpetas cuyos nombres contienen las siguientes cadenas: windows system system32 c:\ Los siguientes archivos en cambio, son sobrescritos con basura, y la cadena "ShohdiEmail". Aumentan su tamaño en 20 bytes, y quedan totalmente inoperables: iexplore.exe ccapp.exe ccregvfy.exe También crea la siguiente entrada para marcar si se ejecutó la rutina de envío por correo electrónico: HKCU\Software\Microsoft\Windows\CurrentVersion MeMeMasr? = "1" * Reparación manual * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados 4. Reitere estos pasos en cada computadora conectada en red Nota: Para limpiar este virus en máquinas con sistema FAT o FAT32, se sugiere su limpieza bajo MS-DOS con F-Prot desde un disquete de inicio, como se explica en nuestro sitio: Cómo ejecutar F-PROT en un disquete (actualizado) http://www.vsantivirus.com/fprot-disq.htm * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion 3. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: MeMeMasr? 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Gaobot.CK. Se copia como "avapsvc.exe" _____________________________________________________________ http://www.vsantivirus.com/gaobot-ck.htm Nombre: W32/Gaobot.CK Tipo: Gusano de Internet y caballo de Troya Alias: WORM_AGOBOT.BG, Backdoor.Agobot.3.gen, W32.HLLW.Gaobot.gen Fecha: 04/dic/03 Plataforma: Windows 32-bit Puertos: TCP/135, TCP/445, TCP/1000 al 3000, TCP/10000, etc. Es una variante menor de W32/Gaobot.AO. Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades. Las principales diferencias con variantes anteriores son las siguientes: 1. Se copia con el siguiente nombre: c:\windows\system\avapsvc.exe 2. Las entradas que agrega en el registro son las siguientes: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Norton Live Updater = avapsvc.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Norton Live Updater = avapsvc.exe * Más información: Tenga en cuenta las referencias anteriores a nombres de archivos y entradas en el registro, a la hora de aplicar la limpieza manual sugerida en la siguiente descripción: W32/Gaobot.AO. Peligroso gusano y caballo de Troya http://www.vsantivirus.com/gaobot-ao.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Gaobot.CJ. Se copia como "msasm.exe" _____________________________________________________________ http://www.vsantivirus.com/gaobot-cj.htm Nombre: W32/Gaobot.CJ Tipo: Gusano de Internet y caballo de Troya Alias: W32/Agobot-BA, Backdoor.Agobot.3.gen, W32.HLLW.Gaobot.gen Fecha: 04/dic/03 Plataforma: Windows 32-bit Puertos: TCP/135, TCP/445, TCP/1000 al 3000, TCP/10000, etc. Es una variante menor de W32/Gaobot.AO. Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades. Las principales diferencias con variantes anteriores son las siguientes: 1. Se copia con el siguiente nombre: c:\windows\system\msasm.exe 2. Las entradas que agrega en el registro son las siguientes: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MS Config Stream = msasm.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices MS Config Stream = msasm.exe * Más información: Tenga en cuenta las referencias anteriores a nombres de archivos y entradas en el registro, a la hora de aplicar la limpieza manual sugerida en la siguiente descripción: W32/Gaobot.AO. Peligroso gusano y caballo de Troya http://www.vsantivirus.com/gaobot-ao.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1246 Año 8, Viernes 5 de diciembre de 2003