| Asunto: | VSantivirus No. 1243 Año 8, Martes 2 de diciembre de 2 003 | | Fecha: | Martes, 2 de Diciembre, 2003 02:04:15 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1243 Año 8, Martes 2 de diciembre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Mimail.L. Se propaga con el adjunto "WENDY.ZIP"
2 - W32/Darby.F. Se propaga por e-mail y redes P2P
3 - W32/Gaobot.CI Se copia como "scvh0st.exe"
4 - W32/Gaobot.CH. Se copia como "wincffg.exe"
_____________________________________________________________
1 - W32/Mimail.L. Se propaga con el adjunto "WENDY.ZIP"
_____________________________________________________________
http://www.vsantivirus.com/mimail-l.htm
Nombre: W32/Mimail.L
Tipo: Gusano de Internet
Alias: Mimail.L, W32/Mimail-L, WORM_MIMAIL.L,
W32/Mimail.L@mm, I-Worm.Mimail.l, I-Worm.Mimail.gen,
Win32.Mimail.L, W32/Mimail.l@MM, Win32/Mimail.Variant.Worm
Plataforma: Windows 32-bit
Tamaños: 11,446 bytes
Fecha: 01/dic/03
Variante del Mimail.C (http://www.vsantivirus.com/mimail-
c.htm), que utiliza dos mensajes diferentes para propagarse.
Uno de esos mensajes, posee estas características:
De: Wendy [con dominio del destinatario]
Para: [dirección del destinatario]
Asunto: Re[2]
Texto:
Hi Greg its Wendy.
I was shocked, when I found out that it wasn't you
but your twin brother!!! That's amazing, you're as
like as two peas. No one in bed is better than you
Greg. I remember, I remember everything very well,
that promised you to tell how it was, I'll give you
a call today after 9.
He took my skirt off, then my [...]
[esta parte se omite por su contenido obsceno]
I'm so thankful to you, for acquainted me to your
brother. I think we can do it on the next Saturday
all three together? What do you think? O yes, as
you wanted I've made a few pictures check them out
in archive, I hope they will excite you, and you
will dream of our new meeting...
Wendy.
Datos adjuntos: wendy.zip
El adjunto (WENDY.ZIP) debe ser abierto por el usuario.
Cuando lo hace, aparece el siguiente ejecutable con doble
extensión:
For_greg_with_love.jpg.exe
La segunda extensión queda oculta en una instalación por
defecto de Windows (ver en las referencias "Mostrar las
extensiones verdaderas de los archivos").
Si se hace doble clic sobre él, se ejecuta el archivo y se
produce la infección.
Se trata de un .EXE comprimido con la herramienta UPX.
Cuando el gusano se ejecuta, copia los siguientes archivos en
el directorio de Windows:
c:\windows\svchost.exe
c:\windows\xu298da.tmp
c:\windows\xu39reu.tmp
c:\windows\x8wui12s.tmp
Donde SVCHOST.EXE es el gusano, y XU298DA.TMP es la lista de
direcciones electrónicas encontradas en la máquina infectada.
XU39REU.TMP es una copia temporal del gusano y X8WUI12S.TMP
es el archivo ZIP conteniendo el gusano (utiliza el método de
almacenamiento sin compresión).
NOTA: "C:\Windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "C:\Windows" en Windows
9x/ME/XP o "C:\WinNT" en Windows NT/2000).
También agrega la siguiente entrada en el registro para
autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
France = c:\windows\svchost.exe
El gusano se registra a si mismo como un servicio en Windows
95, 98 y Me, quedando oculto en la lista de tareas
(CTRL+ALT+SUPR).
Busca las direcciones de correo a las que se enviará, en
archivos de diferentes carpetas de la máquina infectada. Para
ello examina todos los archivos que NO tengan las siguientes
extensiones:
.avi
.bmp
.cab
.com
.dll
.exe
.gif
.jpg
.mp3
.mpg
.ocx
.pdf
.psd
.rar
.tif
.vxd
.wav
.zip
Para el envío de los mensajes, emplea su propio motor SMTP,
por lo que no depende del programa de correo instalado.
El segundo mensaje, no parece contener adjuntos cuando lo
envía el gusano (lo hace cuando falla el envío del primero).
Su intención podría ser asustar a la víctima, ya que habla de
la confirmación del pago con su tarjeta de crédito, de cierto
material conteniendo pornografía infantil.
Sin embargo, los primeros reportes indican el envío de este
mismo mensaje en forma de spam, con un adjunto llamado
TEST.EXE. Dicho mensaje puede tener las siguientes
características:
De: (dirección falsa con alguno de los siguientes dominios)
billing.authorizenet.com
billing.spamcop.net
billing.carderplanet.net
billing.cardcops.com
billing.register.com
billing.spews.org
billing.spamhaus.org
Asunto: We are going to bill your credit card
Texto:
Good afternoon, We are going to bill your credit
card for amount of $22.95 on a weekly basis. Free
pack of child porn CDs is already on the way to
your billing address. If you want to cancel
membership and your CD pack please email order and
credit card details to security@europe.spamhaus.org
Are you ready for all types of underage porn? We
have the best selection for every taste!
Just click the secret links below and have fun:
http:/ /www.spamhaus.org
http:/ /www.spews.org
http:/ /www.register.com
http:/ /www.cardcops.com
http:/ /www.carderplanet.net
http:/ /www.spamcop.net
http:/ /disney.go.com
http:/ /www.authorizenet.com
Nude boys under 16! Nude girls under 16! Incest, a
daddy & a daughter! We have everything you have
ever dreamed for!
Datos adjuntos (en ocasiones): test.exe
El gusano intenta realizar un ataque de denegación de
servicio a las siguientes direcciones:
www.authorizenet.com
disney.go.com
www.spamcop.net
www.carderplanet.net
www.cardcops.com
www.register.com
www.spews.org
www.spamhaus.org
El código del gusano contiene el siguiente texto, que no es
mostrado:
*** Made in France. ***
virmakers
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\svchost.exe
c:\windows\xu298da.tmp
c:\windows\xu39reu.tmp
c:\windows\x8wui12s.tmp
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
France
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Darby.F. Se propaga por e-mail y redes P2P
_____________________________________________________________
http://www.vsantivirus.com/darby-f.htm
Nombre: W32/Darby.F
Tipo: Gusano de Internet
Alias: WORM_DARBY.F, W32.HLLW.Darby, Darby.,
Worm.P2P.Darby.c, W32/Darby.C.worm
Plataforma: Windows 32-bit
Fecha: 28/nov/03
Tamaño: 99,840 bytes (UPX), 413,696 bytes sin comprimir
El gusano, escrito en Visual Basic 6 y comprimido dos veces
con la utilidad UPX, se propaga por redes P2P (Imesh,
Limewire, BearShare, KaZaA, Morpheus, Grokster, Edonkey,
Filetopia, Swaptor, Gnucleus y también ICQ), y por correo
electrónico.
Es capaz de finalizar aplicaciones de seguridad como
antivirus y cortafuegos.
También puede infectar archivos con extensión .DOC, .XLS, y
.HTML, insertando macros o scripts. pero debido a algunos
errores, este gusano falla al intentar ejecutar algunas de
sus rutinas.
Cuando se ejecuta, el gusano busca las siguientes carpetas,
pertenecientes a programas de intercambio de archivos entre
usuarios (P2P):
c:\archivos de programa\applejuice\incoming
c:\archivos de programa\bearshare\shared folder
c:\archivos de programa\edonkey2000\incoming
c:\archivos de programa\gnucleus\downloads
c:\archivos de programa\grokster\my grokster
c:\archivos de programa\icq\shared files
c:\archivos de programa\kazaa lite\my shared folder
c:\archivos de programa\kazaa\my shared folder
c:\archivos de programa\kmd\my shared folder
c:\archivos de programa\limewire\shared
c:\archivos de programa\morpheus\my shared folder
c:\archivos de programa\overnet\incoming
c:\archivos de programa\rapigator\share
c:\archivos de programa\shareaza\downloads
c:\archivos de programa\swaptor\download
c:\archivos de programa\tesla\files
c:\archivos de programa\winmx\my shared folder
c:\archivos de programa\xolox\downloads
c:\my downloads
Se copia en ellas, con los siguientes nombres:
ACDSee 5.5.exe
Age of Empires 2 crack.exe
Ana Kournikova Sex Video.exe
Animated Screen 7.0b.exe
Antivirus Retaliation
aol cracker.exe
AOL Instant Messenger.exe
aol password cracker.exe
AquaNox2 Crack.exe
Audiograbber 2.05.exe
AVP Antivirus Pro Key Crack.exe
BabeFest 2003 ScreenSaver 1.5.exe
Babylon 3.50b reg_crack.exe
Battlefield1942_bloodpatch.exe
Battlefield1942_keygen.exe
Britney Spears Sex Video.exe
Buffy Vampire Slayer Movie.exe
Business Card Designer Plus 7.9.exe
cable modem ultility pack.exe
Clone CD 5.0.0.3 (crack).exe
Clone CD 5.0.0.3.exe
Coffee Cup Free exe 7.0b.exe
Cool Edit Pro v2.55.exe
counter-strike.exe
Crack Passwords Mail.exe
Credit Card Numbers generator(incl Visa,MasterCard,...).exe
Cristina Aguilera Sex Video.exe
delphi.exe
Diablo 2 Crack.exe
DirectDVD 5.0.exe
DirectX Buster (all versions).exe
DirectX InfoTool.exe
divx pro.exe
DivX Video Bundle 6.5.exe
divx_pro.exe
Download Accelerator Plus 6.1.exe
DVD Copy Plus v5.0.exe
DVD Region-Free 2.3.exe
Edonkey2000-Speed me up scotty.exe
FIFA2003 crack.exe
Final Fantasy VII XP Patch 1.5.exe
Flash MX crack (trial).exe
FlashGet 1.5.exe
FreeRAM XP Pro 1.9.exe
Game Cube Real Emulator.exe
GetRight 5.0a.exe
Global DiVX Player 3.0.exe
Gothic2 licence.exe
GTA 3 Crack.exe
GTA 3 Serial.exe
Guitar Chords Library 5.5.exe
Hentai Anime Girls Movie.exe
Hitman_2_no_cd_crack.exe
Hot Babes XXX Screen Saver.exe
HotGirls.exe
Hotmail Hacker 2003-Xss Exploit.exe
hotmail_hack.exe
ICQ Pro 2003a.exe
ICQ Pro 2003b (new beta).exe
iMesh 3.6.exe
iMesh 3.7b (beta).exe
IrfanView 4.5.exe
Jenifer Lopez Sex Video.exe
KaZaA Hack 2.5.0.exe
Kazaa SDK + Xbit speedUp for 2.xx.exe
KaZaA Speedup 3.6.exe
Links 2003 Golf game (crack).exe
Living Waterfalls 1.3.exe
macromedia dreamweaver key generator.exe
Mafia_crack.exe
Matrix Movie.exe
Matrix Screensaver 1.5.exe
Mcafee Antivirus Scan Crack.exe
MediaPlayer Update.exe
Microsoft KeyGenerator-Allmost all microsoft stuff.exe
mIRC 6.40.exe
mp3Trim PRO 2.5.exe
MSN Messenger 5.2.exe
NBA2003_crack.exe
Need 4 Speed crack.exe
Nero Burning ROM crack.exe
Netbios Nuker 2003.exe
Netfast 1.8.exe
Network Cable e ADSL Speed 2.0.5.exe
NHL 2003 crack.exe
Nimo CodecPack (new) 8.0.exe
Norton Anvirus Key Crack.exe
PalTalk 5.01b.exe
pamela_anderson.exe
Panda Antivirus Titanium Crack.exe
play station emulator.exe
Popup Defender 6.5.exe
Pop-Up Stopper 3.5.exe
PS2 PlayStation Simulator.exe
Quick Time Key Crack.exe
QuickTime_Pro_Crack.exe
Sakura Card Captor Movie.exe
Screen saver christina aguilera naked.exe
Screen saver christina aguilera.exe
Security-2003-Update.exe
Serials 2003 v.8.0 Full.exe
serials2000.exe
Sex Live Simulator.exe
Sex Passwords.exe
SmartFTP 2.0.0.exe
SmartRipper v2.7.exe
Space Invaders 1978.exe
Spiderman Movie.exe
Splinter_Cell_Crack.exe
Starcraft serial.exe
Start Wars Trilogy Movies.exe
Steinberg_WaveLab_5_crack.exe
Stripping MP3 dancer+crack.exe
subseven.exe
Thalia Sex Video.exe
Trillian 0.85 (free).exe
TweakAll 3.8.exe
Unreal2_bloodpatch.exe
Unreal2_crack.exe
UT2003_bloodpatch.exe
UT2003_keygen.exe
UT2003_no cd (crack).exe
UT2003_patch.exe
VB6.exe
virtua girl - adriana.exe
virtua girl - bailey short skirt.exe
Virtua Girl (Full).exe
VirtualSex.exe
Visual Basic 6.0 Msdn Plugin.exe
Visual basic 6.exe
warcraft 3 crack.exe
warcraft 3 serials.exe
WarCraft_3_crack.exe
Winamp 3.8.exe
winamp plugin pack.exe
WindowBlinds 4.0.exe
Windows XP complete + serial.exe
Windows Xp Exploit.exe
WinOnCD 4 PE_crack.exe
WinRar 3.xx Password Cracker.exe
WinZip 9.0b.exe
winzip full version key generator.exe
Winzip KeyGenerator Crack.exe
WinZipped Visual C++ Tutorial.exe
XNuker 2003 2.93b.exe
Yahoo Messenger 6.0.exe
Zelda Classic 2.00.exe
El gusano intenta finalizar los siguientes procesos en
ejecución, pertenecientes a conocidos antivirus y
cortafuegos:
_avp32.exe
_avpcc.exe
_avpm.exe
ackwin32.exe
alertsvc.exe
amon.exe
anti-trojan.exe
antivir
apvxdwin.exe
autodown.exe
avconsol.exe
ave32.exe
avgctrl.exe
avkserv.exe
Avnt.exe
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avpmon.exe
avpnt.exe
avptc32.exe
avpupd.exe
Avrep32.exe
avsched32.exe
avsynmgr.exe
avwin95.exe
avwupd32.exe
blackd.exe
blackice.exe
CCAPP.EXE
cfiadmin.exe
cfiaudit.exe
cfind.exe
cfinet.exe
cfinet32.exe
claw95.exe
Claw95cf.exe
claw95ct.exe
cleaner.exe
cleaner3.exe
clrav.com
dvp95.exe
Dvp95_0.exe
ecengine.exe
EFINET32.EXE
esafe.exe
espwatch.exe
f-agnt95.exe
filemon.exe
findviru.exe
f-prot.exe
fprot.exe
f-prot95.exe
FPROT95.EXE
fp-win.exe
frw.exe
f-stopw.exe
iamapp.exe
iamserv.exe
IBMASN.EXE
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icmoon.exe
icssuppnt.exe
icsupp95.exe
Icsuppnt.exe
iface.exe
iomon98.exe
jed.exe
Jedi.exe
kpf.exe
KPFW32.EXE
lockdown2000.exe
lockdownadvanced.exe
lookout.exe
luall.exe
lucomserver.exe
Monitor.exe
moolive.exe
mpftray.exe
msconfig.exe
n32scan.exe
N32scanw.exe
navapsvc.exe
navapw32.exe
navlu32.exe
navnt.exe
navrunr.exe
navsched.exe
navw.exe
navw32.exe
navwnt.exe
nisserv.exe
nisum.exe
nmain.exe
normist.exe
notstart.exe
nsched32.exe
Nspclean.exe
nupgrade.exe
nvc95.exe
offguard.exe
outpost.exe
padmin.exe
pav.exe
pavcl.exe
pavmail.exe
Pavsched.exe
Pavw.exe
pcciomon.exe
pccmain.exe
pccwin98.exe
pcfwallicon.exe
per.exe
perd.exe
persfw.exe
pertsk.exe
perupd.exe
pervac.exe
pervacd.exe
pqremove.com
pview95
pview95.exe
rapapp.exe
rav7.exe
rav7win.exe
regedit.exe
regedt32.exe
regmon.exe
rescue.exe
safeweb.exe
scan32.exe
scan95.exe
scanpm.exe
scrscan.exe
sfc.exe
smc.exe
sphinx.exe
sweep95.exe
tca.exe
tds2-98.exe
tds2-nt.exe
th.exe
th32.exe
th32upd.exe
thav.exe
thd.exe
thd32.exe
thmail.exe
VCONTROL.EXE
VET32.EXE
vet98.exe
vettray.exe
Vscan40.exe
vsecomr.exe
vsscan40.exe
vsstat.exe
webscan.exe
webscanx.exe
wfindv32.exe
WGFE95
ZAPD.EXE
ZAPPRG.EXE
zapro.exe
ZAPS.EXE
ZCAP.EXE
zonealarm.exe
También intentará finalizar cualquier proceso cuyo nombre
incluya alguna de estas cadenas:
ADVXDWIN
ALOGSERV
AMON9X
ATCON
ATUPDATER
ATWATCH
AutoTrace
AVGCC32
AvgServ
AVGSERV9
avkpop
AvkServ
avkservice
avkwctl9
AVWINNT
AVXMONITOR9X
AVXMONITORNT
AVXQUAR
bitdefender
BullGuard
cfgWiz
CMGRDIAN
CONNECTIONMONITOR
CPDClnt
defalert
defscangui
DEFWATCH
DOORS
EFPEADM
ETRUSTCIPE
EXPERT
fameh32
fch32
fih32
firewall
fnrb32
fsgk32
fsm32
fsma32
fsmb32
gbmenu
GBPOLL
GENERICS
GUARD
IAMSTATS
ISRV95
LDPROMENU
LDSCAN
LUSPT
mcafee
MCAGENT
MCMNHDLR
MCUPDATE
MCVSRTE
MCVSSHLD
MGHTML
MINILOG
MPFSERVICE
MWATCH
NAVENGNAVEX15
ndd32
NeoWatchLog
netutils
norman
norton
npscheck
npssvc
ntrtscan
NTVDM
NTXconfig
NVSVC32
NWService
NWTOOL16
PADMIN
panda
pavproxy
pccwin97
pcntmon
pcscan
POP3TRAP
POPROXY
PORTMONITOR
PROCESSMONITOR
procexp
PROGRAMAUDITOR
REALMON
RTVSCN95
RULAUNCH
sbserv
SPYXX
SS3EDIT
SweepNet
SWNETSUP
SymProxySvc
SYMTRAY
TAUMON
TDS-3
the hacker
trojan
vbcmserv
VbCons
VIR-HELP
VPC32
VPTRAY
VSMAIN
vsmon
WIMMUN32
WrCtrl
El gusano puede llegar en un correo electrónico cómo el
siguiente:
De: "W32/Bardiel" <>
Asunto: SexSimulator
Prueba este simulador, hay veces en que se nesecita :)
==================Mcaffe Virus Scan=======================
Resultado del Análisis: Mensaje y Adjunto libre de virus
==========================================================
Por una manipulación en las propiedades del mensaje, el
adjunto (99,840 bytes), no es mostrado, e intenta copiarse
para ser ejecutado automáticamente (contiene el código del
gusano).
El archivo tiene el icono de una carpeta de Windows, y en las
propiedades del mismo se encuentra la siguiente información
(entre otra):
Folder de Datos de Windows
machinedramon92@hotmail.com
Entre las cadenas encontradas en su código, puede verse la
siguiente:
<BARDIEL>
* Reparación manual
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados por el virus
* Información adicional
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Gaobot.CI Se copia como "scvh0st.exe"
_____________________________________________________________
http://www.vsantivirus.com/gaobot-ci.htm
Nombre: W32/Gaobot.CI
Tipo: Gusano de Internet y caballo de Troya
Alias: W32/Agobot-AX, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.BC
Fecha: 01/dic/03
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/1000 al 3000, TCP/10000, etc.
Es una variante menor de W32/Gaobot.AO. Gusano que se propaga
a través de redes compartidas, con contraseñas débiles (por
defecto, pocos caracteres, etc.), valiéndose de tres
conocidas vulnerabilidades.
Las principales diferencias con variantes anteriores son las
siguientes:
1. Se copia con el siguiente nombre:
c:\windows\system\scvh0st.exe
Nota: la supuesta letra "O" en realidad es un CERO.
2. Las entradas que agrega en el registro son las siguientes:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Configuration Loader = c:\windows\system\scvh0st.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Configuration Loader = c:\windows\system\scvh0st.exe
IMPORTANTE: No confunda SCVH0ST.EXE (la "0" es un CERO), con
SVCHOST.EXE, ya que es un archivo legítimo de Windows.
* Más información:
Tenga en cuenta las referencias anteriores a nombres de
archivos y entradas en el registro, a la hora de aplicar la
limpieza manual sugerida en la siguiente descripción:
W32/Gaobot.AO. Peligroso gusano y caballo de Troya
http://www.vsantivirus.com/gaobot-ao.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Gaobot.CH. Se copia como "wincffg.exe"
_____________________________________________________________
http://www.vsantivirus.com/gaobot-ch.htm
Nombre: W32/Gaobot.CH
Tipo: Gusano de Internet y caballo de Troya
Alias: W32/Agobot-AZ, W32.HLLW.Gaobot.gen,
Backdoor.Agobot.3.gen
Fecha: 01/dic/03
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/1000 al 3000, TCP/10000, etc.
Es una variante menor de W32/Gaobot.AO. Gusano que se propaga
a través de redes compartidas, con contraseñas débiles (por
defecto, pocos caracteres, etc.), valiéndose de tres
conocidas vulnerabilidades.
Las principales diferencias con variantes anteriores son las
siguientes:
1. Se copia con el siguiente nombre:
c:\windows\system\wincffg.exe
2. Las entradas que agrega en el registro son las siguientes:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Config Loader = wincffg.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Config Loader = wincffg.exe
* Más información:
Tenga en cuenta las referencias anteriores a nombres de
archivos y entradas en el registro, a la hora de aplicar la
limpieza manual sugerida en la siguiente descripción:
W32/Gaobot.AO. Peligroso gusano y caballo de Troya
http://www.vsantivirus.com/gaobot-ao.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1243 Año 8, Martes 2 de diciembre de 2003
|
VSantivirus No. 12
Responder a este mensaje
