Mostrando mensaje 329     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1280 Año 8, jueves 8 de enero de 2004 Fecha: Jueves, 8 de Enero, 2004  05:24:04 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1280 Año 8, jueves 8 de enero de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Las aplicaciones P2P que usted no debería usar 2 - W32/Mimail.P. Archivo adjunto: "pp-app.zip" 3 - W32/Opasoft.AE. Se propaga por NetBIOS como "Natal.scr" _____________________________________________________________ 1 - Las aplicaciones P2P que usted no debería usar _____________________________________________________________ http://www.vsantivirus.com/lista-p2p.htm Las aplicaciones P2P que usted no debería usar Por Jose Luis Lopez videosoft@videosoft.net.uy En julio de 2003, publicamos la lista actualizada de las utilidades P2P (Peer-To-Peer) más utilizadas, y catalogadas por SpywareInfo.com, de acuerdo a su peligrosidad a la hora de poner en riesgo la integridad de nuestros equipos. Cómo esta lista ha variado a través del tiempo, y en razón de las numerosos preguntas de nuestros lectores, hemos decidido actualizarla a enero de 2004, y de ahora en más mantenerla sincronizada con el artículo original, publicado en http://www.spywareinfo.com/articles/p2p/. * Sobre los programas P2P Básicamente, este tipo de programas, utilizan una red común (por lo general diferente para cada producto), para comunicar entre si las computadoras de sus usuarios, los que comparten ciertos directorios, donde se encuentran los archivos a intercambiar. Más allá de los problemas legales por derechos de autor, existe un grave peligro para las computadoras integradas de ese modo. El simple hecho de permitir el acceso a cualquier persona extraña a una computadora personal, ya de por si, es algo que implica grandes riesgos, aunque los programas de ese tipo tengan implementadas las necesarias protecciones. Uno de los más importantes riesgos, es el intercambio de archivos que no son lo que dicen ser, o que directamente se tratan de virus, gusanos o troyanos camuflados. Existen decenas de ejemplos, y es una de las más importantes fuentes de propagación e infección hoy día. Pero tal vez más grave, sea la instalación de otros programas no deseados (Spywares o Adwares), que estas aplicaciones esconden. Los programas espías o "Spyware", son usados por los patrocinadores de los productos P2P, para recabar información sobre que sitios visita el usuario, cuáles son sus preferencias, o que archivos prefiere descargar. En muchas ocasiones, esto incluye información más comprometida, con datos más personales, siempre con la idea de enviarle más publicidad basura. También permite especificar que banners publicitarios mostrarle (esto es lo que se denomina "Adware", o sea los programas que se instalan para descargar y mostrar publicidad). Y no debería extrañarle si también empieza a recibir más spam a través del correo electrónico. La lista de SpywareInfo, nos servirá para conocer al menos, que programas del tipo P2P no debemos instalar en nuestras computadoras. * Aplicaciones INFECTADAS Las siguientes aplicaciones no deberían ser instaladas nunca, ya que poseen programas o instalan programas espías: KaZaa (la versión gratuita) Limewire Audiogalaxy (obsoleto) Bearshare (la versión gratuita) Imesh Morpheus Grokster Xolox Blubster 2.x (o Piolet) OneMX FreeWire BitTorrent (solo la versión de Unify Media) Blubster 2.0 y superiores y Piolet, son soportados por publicidad (adware), y además instalan otros adwares. En la siguiente página http://mywebpages.comcast.net/robotarmy/, se detalla que cosas instala cada una de esas aplicaciones. * Aplicaciones LIMPIAS Los siguientes programas de intercambio de archivos no poseen spyware o adware: WinMX (Recomendado por SpywareInfo) Shareaza E-Mule Gnucleus Blubster 1.2.3 (las versiones más nuevas incluyen Adware) Soulseek BitTorrent (ver advertencia) Direct Connect Mute EarthStation5 (limpio, pero no recomendado) * Con respecto a EarthStation5 Earth Station 5 tuvo en algún momento, código que permitía a un atacante, borrar cualquier archivo en el disco duro de la computadora del usuario del programa (http://www.spywareinfo.net/oct7,2003#es5). Si ese código fue puesto allí de forma intencional, o se trató de un error accidental, no está aún muy claro. Por esa razón, se desaconseja su uso. * Con respecto a BitTorrent BitTorrent es un programa de código abierto distribuido bajo una licencia que permite recompilarlo y distribuirlo. Desafortunadamente, una compañía llamada Unify Media Ltd (http://www.unifymedia.com/), ha decidido distribuir una versión infectada por el parásito C2Media/Lop (http://www.doxdesk.com/parasite/lop.html). La recomendación es descargar BitTorrent únicamente del sitio oficial (http://bitconjurer.org/BitTorrent/). * Cracks Existen dos programas más, Kazaalite y Groksterlite, que tal vez usted haya sentido mencionar. Ambos son programas libres de spywares, y algunas personas incluso han llegado a pensar que se trata de versiones alternativas realizadas por los mismos creadores del KaZaa y del Grokster. Sin embargo, ninguno de los dos son distribuidos oficialmente por los autores del software original. Son programas crackeados (modificados ilegalmente), violando las licencias de usuario final, para remover el spyware embebido en los originales. Tal vez usted piense que utilizando estos productos, estaría vengándose de los creadores del software original plagado de programas espías. En el informe de SpywareInfo se afirma categóricamente que tampoco deberían usarse. Utilizar estos productos, solo hace más popular a dicho software, y demuestra que usted llegará a cualquier extremo para utilizarlo. Esto les sirve a los creadores de los originales, para seguir cobrando a las compañías que pagan por incluir su software espía, porque muestra una red de un millón y medio de usuarios (la red usada es la misma para el original como para las versiones Lite). De ese modo, usando tanto KaZaa o Kazaalite, como Grokster o Groksterlite, usted estaría igualmente contribuyendo con el problema de la publicidad y de los programas espía. La recomendación es no utilizar ninguna versión de estos productos. Las compañías que usan spyware pagan muy buen dinero, de modo que la única manera de desalentar a los desarrolladores de incluirlo es mostrar que los usuarios lo rechazan en cualquier parte. Sin usuarios, no hay patrocinadores, lo que significa no más dinero para otros a costa nuestra. Tan simple como eso, afirma SpywareInfo. * KaZaA manipula archivos del sistema En el artículo que usted puede encontrar en este enlace (http://www.spywareinfo.com/articles/kazaa/), Mike Healan de SpywareInfo, comenta las acciones que el KaZaA realiza con un archivo del sistema, según él, cruzando la línea que lo convierte en un programa malicioso. El archivo HOSTS es el primer lugar en que Windows busca la dirección IP de un servidor remoto al intentar conectarse a este último. Si no encuentra esta relación en dicho archivo (en la forma IP -> nombre de servidor), entonces envía la solicitud al servidor de nombres (DNS) del proveedor de Internet para obtener dicha dirección IP. Un truco muy común para bloquear el acceso a un servidor externo, es apuntar el nombre de dicho servidor al IP 127.0.0.1, la dirección interna de la propia computadora. Cómo en dicha dirección no existe el servidor pedido, el sitio solicitado no se abre. Al menos en la última versión del KaZaA (2.5), si ciertas entradas están presentes en el archivo HOSTS, el programa se niega a cargarse, y se despliega una ventana emergente con un texto que advierte que el programa ha detectado una instalación defectuosa por culpa de una versión no certificada, y pide al usuario para repararla, al pulsar un botón llamado [Fix and Continue]. También muestra un botón para más información donde se informa que alguno de los cambios hechos por la versión no certificada podrían haber afectado al archivo HOSTS para impedir que se tenga acceso a KaZaA.com, o a algunos de los "importantes dominios necesarios para el correcto funcionamiento del programa". Las opciones son dejar que el programa arregle el problema, o dejar de usarlo. Si usted decide pinchar en [Fix and Continue], KaZaA modificará el archivo HOSTS para deshabilitar cualquier entrada relacionada con Sharman Networks, o con sus patrocinadores. Aunque Mike explica una forma de evitar que KaZaa acceda a HOSTS (solo en sistemas con sistemas de archivos NTFS como Windows 2000, XP, etc.), también advierte que la licencia del programa no hace mención a que alterará el archivo HOSTS o cualquier otro de Windows o de la configuración de redes. Por lo tanto, KaZaa está prácticamente convirtiéndose en un programa malicioso, al realizar modificaciones no autorizadas al sistema. Por supuesto, la recomendación es no utilizar de ningún modo el KaZaA, por la cantidad de adware y spyware que agrega al sistema. * Artículo original sobre KaZaA: KaZaA Tampers With System File http://www.spywareinfo.com/articles/kazaa/ * Actualizaciones del artículo principal en SpywareInfo (después de la primera publicación en VSAntivirus en julio de 2003): 20/dic/03 - Advertencia sobre BitTorrent. 20/dic/03 - Mute como aplicación limpia. 29/oct/03 - FreeWire como aplicación infectada. 03/oct/03 - Se cambia Earth Station 5 a infectada. 29/set/03 - OneMX como aplicación infectada. 13/set/03 - Earth Station 5 como aplicación limpia. 05/set/03 - BitTorrent como aplicación limpia. 05/set/03 - Direct Connect como aplicación limpia. 03/set/03 - Detalle: versión paga de KaZaA no agrega spyware. * Referencias: Clean and Infected File Sharing Programs http://www.spywareinfo.com/articles/p2p/ WinMX http://www.winmx.com/ Shareaza http://www.shareaza.com/ E-Mule http://www.emule-project.net/ Gnucleus http://gnucleus.sourceforge.net/ Blubster 1.2.3 http://fun.s- one.net.sg/fun/fes/search.cgi?keyword=Blubster.exe Soulseek http://www.slsknet.org/ BitTorrent http://bitconjurer.org/BitTorrent/ Direct Connect http://www.neo-modus.com/ Mute http://mute-net.sourceforge.net/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Mimail.P. Archivo adjunto: "pp-app.zip" _____________________________________________________________ http://www.vsantivirus.com/mimail-p.htm Nombre: W32/Mimail.P Tipo: Gusano de Internet, troyano robador de información Alias: Mimail.P, I-Worm.Mimail.p, W32/Mimail.P@mm, Win32.Mimail.P, W32/Mimail.p@MM, WORM_MIMAIL.P, Win32.HLLM.Foo Fecha: 7/ene/04 Plataforma: Windows 32-bit Tamaño: 23,072 bytes, 58,010 bytes Puerto: TCP/5555 Gusano que se propaga masivamente por correo electrónico, en un mensaje anunciando una supuesta oferta de año nuevo en Paypal, la conocida plataforma de pago vía Internet. Al ejecutarse el adjunto, el gusano intenta robar la información de la tarjeta de crédito del usuario. El ejecutable está comprimido con la utilidad UPX, y se envía como adjunto dentro de un archivo comprimido. El mensaje enviado posee estas características (después del asunto, hay varios caracteres vacíos y luego otros al azar, representados por [xxxx]): De: "PayPal.com" donotreply@paypal.com Asunto: GREAT NEW YEAR OFFER FROM PAYPAL.COM! [xxxx] Texto: *** GREAT NEW YEAR OFFER FROM PAYPAL.COM *** Dear PayPal.com Member, We here at PayPal.com are pleased to announce that we have a special New Year offer for you! If you currently have an account with PayPal then you will be eligible to receive a terrific prize from PayPal.com for the New Year. For a limited time only PayPal is offering to add 10% of the total balance in your PayPal account to your account and all you have to do is register yourself within the next five business days with our application (see attachment)! If at this time you do not have a PayPal account of your own you can also register yourself with our secure application and get this great New Year bonus! If you fill out the secure form we have provided PayPal will create an account for you (it's free) and you will receive a confirmation e-mail that your account has been created. That's not all! If you resend this letter (with its attachment) to all of your friends you may be eligible to receive another New Year bonus because the 1000 PayPal members that send the most of these to their friends will get the bonus. If you are one of these 1000 lucky members then PayPal will add 17% of your total balance to your account! Registration is simple. Just unpack the attachment with WinZip, run the application, and follow the instructions we have provided. If you have problems opening the application then you may want to try downloading a free version of WinZip from www.winzip.com Do not miss your chance at this fantastic opportunity! Thousands of our current customers have already received their prizes and now it's your turn; so hurry up and take advantage of this special offer! Best of luck in the New Year, PayPal.com Team Datos adjuntos: pp-app.zip El adjunto debe ser abierto por el usuario. Cuando lo hace, aparece un ejecutable con un nombre al azar y extensión .EXE. Si se hace doble clic sobre ese archivo, el gusano se ejecuta y se produce la infección. Cuando ello sucede, se muestra una ventana que simula ser una página de Paypal, donde se le solicita al usuario el ingreso de la información de su tarjeta: Título de la ventana: *** GREAT NEW YEAR OFFER FROM PAYPAL.COM *** El formulario solicita la siguiente información en la primer pantalla: Credit Card Number PIN CVV Code Expire date El código CVV es un código adicional de tres dígitos impreso en el reverso de la tarjeta, que no es registrado durante las transacciones. Si todos los campos son llenados, y el usuario pincha en el botón [NEXT >], el gusano despliega una segunda pantalla, donde se solicitan datos como nombres, fecha de nacimiento, país, etc. Por último, al completar los datos de esa segunda pantalla, se muestra un mensaje como el siguiente: You will receive a confirmation email once your registration has been completed. Nota: Si aparece cualquiera de estas pantallas, no pulse en los botones que se muestran, y para cerrar la ventana, pulse las teclas CONTROL+F4. La información obtenida es guardada en un archivo para luego ser enviada a Internet. NOTA: Recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente, y mucho menos datos privados tan sensibles como estos. Luego de ejecutarse, el gusano se copia a si mismo en la siguiente ubicación: c:\windows\winmgr32.exe También crea los siguientes archivos: c:\index.hta c:\index2.hta c:\tmpenc.txt c:\tmpny3.txt c:\windows\ee98af.tmp c:\windows\outlook.cfg c:\windows\zipzip.tmp NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). El gusano modifica la siguiente entrada en el registro para ejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run WinMgr32 = c:\windows\winmgr32.exe También se registra a si mismo como un servicio en Windows 95, 98 y Me, quedando oculto en la lista de tareas (CTRL+ALT+SUPR). Cada vez que se ejecuta, el gusano examina si existe una conexión activa a Internet haciendo un PING a Google.com. Si existe la conexión, el gusano inicia el envío de mensajes para propagarse a si mismo. Las direcciones de correo a las que se envía, son extraídas de archivos en diferentes carpetas de la máquina infectada, que NO tengan las siguientes extensiones: .avi .bmp .cab .com .dll .exe .gif .jpg .mp3 .mpg .ocx .pdf .psd .rar .tif .vxd .wav .zip Para el envío de los mensajes, emplea su propio motor SMTP, por lo que no depende del programa de correo instalado. El gusano cambia la página de inicio del Internet Explorer por una imagen relacionada con el presidente norteamericano George Bush, en el siguiente servidor: http:/ /www.anvari.org/ Contiene un componente troyano del tipo spyware, que colecciona datos de la cuenta de correo electrónico del usuario (nombre, contraseña, servidores POP3 y SMTP, etc.). Además, puede enviar a un sitio predeterminado, la información de la tarjeta de crédito capturada antes. El troyano abre el puerto TCP/5555 para sus acciones. También detecta ciertas ventanas abiertas correspondientes a determinadas aplicaciones, e intenta coleccionar cierta información ingresada por el usuario. * Sugerencias para administradores Una forma de proteger a los usuarios con correo corporativo, es crear un filtro antispam para la siguiente dirección "donotreply@paypal.com". Esto puede reducir significativamente la cantidad de mensajes infectados. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\winmgr32.exe c:\index.hta c:\index2.hta c:\tmpenc.txt c:\tmpny3.txt c:\windows\ee98af.tmp c:\windows\outlook.cfg c:\windows\zipzip.tmp Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: WinMgr32 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o pinche en "Página en blanco"). O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual". * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Opasoft.AE. Se propaga por NetBIOS como "Natal.scr" _____________________________________________________________ http://www.vsantivirus.com/opasoft-ae.htm Nombre: W32/Opasoft.AE Tipo: Gusano de Internet Alias: Win32/Opaserv.AE, W32.Opaserv.AE.Worm, W32.Opaserv.AD.Worm, Backdoor.Opasoft, Bck/Opasoft, W32.Opaserv.Worm, W95/Scrup.worm, Worm.Win32.Opasoft, WORM_OPASOFT Plataforma: Windows 32-bit Fecha: 7/ene/04 Tamaño: 18,691 bytes Variante del Opasoft (u Opaserv), gusano que se propaga a través de los recursos compartidos en una red local y a través de Internet, utilizando la vulnerabilidad "Share Level Password". Utiliza para ello el puerto 139 (Netbios, NETBeui). Si su computadora tiene activa la opción "Compartir impresoras y archivos para redes Microsoft", podría ser accedida a través de Internet, y por lo tanto ser infectada con este gusano. Netbios utiliza además el puerto 137 para la búsqueda del "nombre de Windows" correspondientes a los recursos compartidos. Para estas acciones, el gusano hace uso del protocolo de comunicación llamado SMB (Server Message Block Protocol), el cuál es empleado por los sistemas operativos basados en MS- Windows para acceder a los recursos compartidos de una red, a través del puerto 139 (NetBeui en sistemas Microsoft Windows). La vulnerabilidad mencionada, está relacionada con la forma en que Windows (95, 98, 98 SE y Me) verifica las contraseñas en una red compartida, de modo que puede llegar a aceptar un solo carácter (letra o número), sin importar lo larga que sea la contraseña. La corrección para esta falla en esos sistemas operativos, está disponible desde octubre de 2000 (http://www.microsoft.com/technet/security/bulletin/ms00- 072.asp). Todos los usuarios que utilicen la opción de compartir archivos e impresoras con Windows 95, 98, 98 SE y Me, deben descargar e instalar el parche desde dicho enlace. Cuando se ejecuta, el gusano crea los siguientes archivos: c:\lammer! c:\windows\natal.scr c:\windows\putz!!! c:\windows\trossss.gay c:\windows\troxxx c:\windows\troxxx.dat NOTA: "c:\windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "c:\windows" en Windows 9x/ME/XP o "c:\winnt" en Windows NT/2000). El gusano también crea o modifica la siguiente entrada del registro para ejecutarse en próximos reinicios: HKLM\Software\Microsoft\Windows\CurrentVersion\Run natal = c:\windows\natal.scr En ocasiones, puede encontrarse esta entrada en la misma clave: Natal!Old = c:\windows\natal.scr Para propagarse a través de unidades de red y recursos compartidos, el gusano busca direcciones IP con el puerto 137 abierto (protocolo NetBIOS). Si obtiene respuesta, se trasmite por el puerto 139, copiándose en el directorio raíz y en el de WINDOWS de la víctima seleccionada, con el nombre de NATAL.SCR. Primero, establece una conexión con el recurso \\hostname\C si la computadora remota le responde. Si el recurso está protegido con contraseña, prueba todas las posibilidades en las que la contraseña sea un sólo carácter (A, B, C, etc.). Si la contraseña tiene más de un carácter, prueba varias combinaciones en un ataque "de fuerza bruta", aprovechando la vulnerabilidad mencionada al comienzo. La búsqueda de direcciones IP sigue un orden. Primero, busca en la subred del equipo actual. Después, las dos subredes más próximas. Finalmente, escoge direcciones IP al azar. Crea un "mutex" (un semáforo) para saber si ya se está ejecutando en memoria, y no volver a hacerlo. También modifica el archivo WINDOWS\WIN.INI para autoejecutarse al iniciarse Windows en las máquinas remotas: [windows] run = c:\windows\natal.scr En ocasiones, puede agregar esta entrada en lugar de la anterior: run = c:\lammer! Intenta conectarse a determinado sitio (ahora desactivado), para descargar una actualización de si mismo. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\lammer! c:\windows\natal.scr c:\windows\putz!!! c:\windows\trossss.gay c:\windows\troxxx c:\windows\troxxx.dat Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas (solo aparecerá una de las dos): natal Natal!Old 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Editar el archivo WIN.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque cualquier de las siguientes opciones: [windows] run = c:\windows\natal.scr [windows] run = c:\lammer! Debe quedar como: [windows] run = 3. Grabe los cambios y salga del bloc de notas. * Información adicional * Deshabilitar "Compartir impresoras y archivos para redes Microsoft" en Windows 95, 98 y Me. 1. En Mi PC, Panel de Control, seleccionar "Red". 2. Seleccione el siguiente componente: TCP/IP -> Adaptador de Acceso telefónico a redes O si utiliza otra conexión a Internet, como ADSL, etc., seleccione TCP/IP del adaptador de red correspondiente, por ejemplo: TCP/IP -> Adaptador Ethernet (etc.) 3. Pinche en "Propiedades". 4. Seleccione la lengüeta "Enlaces". 5. Desmarque la casilla "Compartir impresoras y archivos para redes Microsoft". 6. Pinche en "Aceptar" hasta cerrar todas las opciones. 7. Reinicie su equipo si se lo pide el sistema. * Instalar parche para vulnerabilidad "Share Level Password" (Windows 95, Windows 98, Windows Me). Descargar el parche necesario según se explica en el siguiente artículo (inglés): http://www.microsoft.com/technet/security/bulletin/ms00- 072.asp * Actualizar Internet Explorer Actualice su Internet Explorer según se explica en el siguiente artículo: http://www.vsantivirus.com/vulms03-048.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1280 Año 8, jueves 8 de enero de 2004