Mostrando mensaje 297     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1248 Año 8, Domingo 7 de diciembre de 2003 Fecha: Domingo, 7 de Diciembre, 2003  00:07:26 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1248 Año 8, Domingo 7 de diciembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Microsoft pone la seguridad en nuestras manos 2 - W32/Slideshow.A. Excesivo consumo de recursos 3 - W32/Gaobot.CM. Se copia como "svdhost.exe" 4 - W32/Gaobot.CL. Se copia como "svchos1.exe" _____________________________________________________________ 1 - Microsoft pone la seguridad en nuestras manos _____________________________________________________________ http://www.vsantivirus.com/ev07-12-03.htm Microsoft pone la seguridad en nuestras manos Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Hace dos semanas (noviembre de 2003), Microsoft liberó a los betatesters de su Windows Update, la imagen ISO de un CD identificado como "Windows Security Update CD". El CD, de 300 megabytes, contiene la mayoría de los parches de seguridad publicados hasta esa fecha para Windows 2000 y XP. Sería este un importante paso para poner la seguridad al alcance de todos. No está claro si el mismo será útil para usuarios de Windows 98 y Me, a pesar de que un archivo de texto en el propio CD los menciona: "This CD contains a collection of updates for Windows 98, Windows 98SE, Windows Millennium, Windows 2000, and Windows XP" (Este CD contiene una colección de actualizaciones para Windows 98, Windows 98SE, Windows Millennium, Windows 2000, y Windows XP). Para usuarios de Windows XP, el CD contiene el Service Pack 1a, DirectX 9 y Windows Media Player 9. Microsoft también incluyó, una útil herramienta llamada "Windows Security advisor", para el control de las actualizaciones y parches instalados. Esencialmente, el programa convierte en automáticas las actualizaciones, lo que para la mayoría de los usuarios sin experiencia es algo muy bueno. También habilita el cortafuegos incorporado en Windows XP, un tema crítico que hubiera evitado las infecciones con el Blaster (o Lovsan). Muchos alaban esta iniciativa, como un excelente paso de Microsoft en la dirección correcta. Es fácil de distribuir, y sobre todo, fácil de usar. El CD también podría ser incorporado con cada nuevo PC; y para los usuarios con conexiones lentas, sería la solución ideal. En su más reciente conferencia mundial de socios, Microsoft prometió encontrar una forma de poner en las manos de los usuarios finales que no disponen de banda ancha, todos los parches de seguridad actualizados. Sin embargo, la solución no estará "en la calle" hasta dentro de dos o tres meses, si nos atenemos a la leyenda "Winter 2004" (Invierno 2004), mostrada en el CD. En el hemisferio norte, esto sería enero o febrero del próximo año. La versión beta, detecta el sistema operativo y cualquier parche ya instalado, para ofrecer automáticamente las actualizaciones necesarias, sin ninguna otra duda para el usuario doméstico. Esto resuelve uno de los más grandes problemas, saber que parche se tiene antes de instalar uno nuevo. Muchas veces una actualización no funcionará correctamente si no se instala un parche o Service Pack anterior. (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=349 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Slideshow.A. Excesivo consumo de recursos _____________________________________________________________ http://www.vsantivirus.com/slideshow-a.htm Nombre: W32/Slideshow.A Tipo: Gusano de Internet (P2P) Alias: W32.HLLW.Slideshow Fecha: 4/dic/03 Plataforma: Windows 32-bit Tamaño: 139,264 bytes Reportado por: Symantec Este gusano, escrito en Visual Basic, se propaga por redes de intercambio de archivos entre usuarios "Peer-To-Peer" (P2P). También utiliza el AOL Instant Messenger. Una de sus características, es la notoria perdida de rendimiento de una computadora infectada, ya que cuando el gusano está en memoria, utiliza de un 70 a un 90 por ciento de la capacidad del procesador. Cuando se ejecuta, muestra una ventana con un error falso: Err no entry Cptx32.dll. Patch Failed. [ OK ] Sin importar la respuesta del usuario, el gusano crea los siguientes archivos: c:\payload.exe c:\data c:\debug c:\slideshow.exe c:\windows\mscvt.exe Donde PAYLOAD.EXE es el gusano, DATA y DEBUG son un archivo de registro y otro temporal respectivamente, y SLIDESHOW.EXE y MSCVT.EXE son copias del ejecutable del gusano. Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Run MSCVT = c:\windows\mscvt.exe Si el gusano detecta al KaZaa instalado en el sistema, intenta copiarse en la carpeta compartida de dicha utilidad, para propagarse a otros usuarios del programa. También busca la existencia de los perfiles del mensajero instantáneo de AOL, AOL Instant Messenger (AIM). Si los encuentra, cuando el usuario se conecta a Internet, el gusano busca sus listas de contactos (Buddy Lists), y envía mensajes a todos los usuarios registrados allí. El mensaje contiene un enlace a una copia del gusano en un determinado sitio Web. * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\payload.exe c:\data c:\debug c:\slideshow.exe c:\windows\mscvt.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: MSCVT 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Gaobot.CM. Se copia como "svdhost.exe" _____________________________________________________________ http://www.vsantivirus.com/gaobot-cm.htm Nombre: W32/Gaobot.CM Tipo: Gusano de Internet y caballo de Troya Alias: WORM_AGOBOT.EU, W32.HLLW.Gaobot, Backdoor.Agobot.3.gen, W32.HLLW.Gaobot.gen Fecha: 06/dic/03 Plataforma: Windows 32-bit Tamaño: 196,608 bytes Puertos: TCP/135, TCP/445 Es una variante menor de W32/Gaobot.AF. Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades. Las principales diferencias con variantes anteriores son las siguientes: 1. Su tamaño es de 196,608 bytes. 2. Se copia con el siguiente nombre: c:\windows\system\svdhost.exe 3. Las entradas que agrega en el registro son las siguientes: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows update = svdhost.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Windows update = svdhost.exe * Más información: Tenga en cuenta las referencias anteriores a nombres de archivos y entradas en el registro, a la hora de aplicar la limpieza manual sugerida en la siguiente descripción: W32/Gaobot.AF. Peligroso gusano y caballo de Troya http://www.vsantivirus.com/gaobot-af.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Gaobot.CL. Se copia como "svchos1.exe" _____________________________________________________________ http://www.vsantivirus.com/gaobot-cl.htm Nombre: W32/Gaobot.CL Tipo: Gusano de Internet y caballo de Troya Alias: W32.HLLW.Gaobot.DK, Backdoor.Agobot.3.gen, W32.HLLW.Gaobot.gen Fecha: 05/dic/03 Plataforma: Windows 32-bit Tamaño: 70,144 bytes Puertos: TCP/135, TCP/445, TCP/63809 Es una variante menor de W32/Gaobot.AB. Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades. Las principales diferencias con variantes anteriores son las siguientes: 1. Su tamaño es de 70,144 bytes 2. Se copia con el siguiente nombre: c:\windows\system\svchos1.exe 3. Las entradas que agrega en el registro son las siguientes: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Configuration Loading = svchos1.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Configuration Loading = svchos1.exe 4. Abre el puerto TCP/63809. * Más información: Tenga en cuenta las referencias anteriores a nombres de archivos y entradas en el registro, a la hora de aplicar la limpieza manual sugerida en la siguiente descripción: W32/Gaobot.AB. Recibe comandos vía IRC, usa RPC/DCOM http://www.vsantivirus.com/gaobot-ab.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1248 Año 8, Domingo 7 de diciembre de 2003