Mostrando mensaje 301     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1252 Año 8, Jueves 11 de diciembre de 2003 Fecha: Jueves, 11 de Diciembre, 2003  03:38:05 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1252 Año 8, Jueves 11 de diciembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Una nueva forma de usar una vieja falla 2 - W32/Scold.A. Se propaga por correo electrónico 3 - W32/Yaha.AF. Modifica archivos, elimina antivirus 4 - W32/Anarch.A. Se propaga por e-mail, redes P2P e IRC _____________________________________________________________ 1 - Una nueva forma de usar una vieja falla _____________________________________________________________ http://www.vsantivirus.com/vul-arroba2.htm Una nueva forma de usar una vieja falla Por Jose Luis Lopez videosoft@videosoft.net.uy Se ha publicado recientemente un "exploit", que saca provecho de una vulnerabilidad que no es nueva, a pesar de lo que mencionan sus descubridores. La falla permite engañar al usuario del Internet Explorer, para hacerle creer que está en un sitio diferente, luego de seguir un enlace malicioso. La diferencia con la vieja vulnerabilidad, es que se apela a un código de HTML dinámico (o DHTML), para incluir (por ejemplo), en un parámetro "button onclick = location.href = (URL)", los códigos %01, que ocultan la verdadera dirección, formada detrás de una arroba (esto se explica en el artículo que hacemos referencia al final). Por ejemplo, una dirección como "http:/direccion_falsa%01@direccion_verdadera", llevaría al usuario a la "direccion_verdadera", pero mostraría en la barra de direcciones la "http:/direccion_falsa". El peligro está en que se puede hacer creer a un usuario que se encuentra en la página correcta para ingresar los datos de su tarjeta de crédito (o cualquier otra información sensible), cuando estaría en una dirección controlada por un pirata. Esto solo funciona si se tienen habilitados los ActiveX. De lo contrario, la barra de direcciones del Internet Explorer mostrará la dirección completa: "http:/direccion_falsa%01@direccion_verdadera" Por esta razón aconsejamos configurar el Internet Explorer con las opciones que explicamos en el artículo "Navegando más seguros y sin molestos Pop-Ups con el IE" http://www.vsantivirus.com/faq-sitios-confianza.htm, que permite deshabilitar ActiveX, y poder seguir navegando con ellos solo en sitios de confianza. Por supuesto, además siempre debemos desconfiar de cualquier URL que contenga una arroba como parte del nombre. Justamente, la "vieja vulnerabilidad" respecto al uso de una arroba para engañar al usuario al mostrar un enlace falso, está extensamente explicada en el siguiente artículo de Gonzalo Álvarez Marañón (Criptonomicon), que publicamos en octubre de 2001 (VSantivirus 458). ¿@ en un URL? Algo me huele mal http://www.vsantivirus.com/gm-arroba-url.htm * Referencias: Otra falla no corregida en Internet Explorer http://www.enciclopediavirus.com/noticias/verNoticia.php?id=354 * Glosario: EXPLOIT - Programa o método concreto que saca provecho de una falla o agujero de seguridad de una aplicación o sistema, generalmente para un uso malicioso de dicha vulnerabilidad. DHTML (Dynamic Hyper Text Markup Languaje). Conjunto de nuevos rótulos (TAGS) y opciones para HTML desarrollado por Microsoft, que permiten dar contenido dinámico a las páginas Web. URL (Uniform Resources Locator o Localizador Uniforme de Recursos) - Básicamente solemos referirnos a cualquier dirección de Internet. En realidad se trata de una estandarización de recursos que permite encontrar estas direcciones. Dicho de otra manera, se trata de un "apuntador" a la ubicación de cualquier archivo, directorio o equipo, como por ejemplo una página HTML. La dirección URL también especifica el protocolo de Internet apropiado, como HTTP o FTP. ActiveX - Engloba diversas tecnologías de Microsoft usadas para crear contenido interactivo, independientemente del lenguaje. Los componentes ActiveX se pueden controlar mediante un lenguaje de secuencias de comandos como Visual Basic Scripting (VBScript) o JavaScript (JScript). Todos los subprogramas Java, al ejecutarse en la máquina virtual para Java, son automáticamente componentes ActiveX y utilizan la extensión .CLASS. Los componentes ActiveX que se ejecutan dentro del proceso de la aplicación son .OCX o .DLL, mientras que los que se ejecutan fuera son .EXE. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Scold.A. Se propaga por correo electrónico _____________________________________________________________ http://www.vsantivirus.com/scold-a.htm Nombre: W32/Scold.A Tipo: Gusano de Internet Alias: Win32.Scold.A Fecha: 12/dic/03 Plataforma: Windows 32-bit Tamaño: 27 Kb Gusano que se propaga a través del correo electrónico, utilizando el Microsoft Outlook y Outlook Express. El mensaje puede tener estas características: Asunto: (uno de los siguientes) When It´s Cold Outside She Gives Me Warm Inside [XX] Fw: When It´s Cold Outside She Gives Me Warm Inside [XX] Re: When It´s Cold Outside She Gives Me Warm Inside [XX] Donde [XX] son caracteres al azar, por ejemplo: fdzzhq gg Texto: (uno de los siguientes): Ejemplo 1: Don´t miss this cool picture. ============= Free Online Virus Scan ============= 100% VIRUS FREE No viruses or suspicious files were found in the attached file. Ejemplo 2: You will love this cute picture. ============= Free Online Virus Scan ============= 100% VIRUS FREE No viruses or suspicious files were found in the attached file. Ejemplo 3: Enjoy this great picture. ============= Free Online Virus Scan ============= 100% VIRUS FREE No viruses or suspicious files were found in the attached file. El archivo adjunto posee nombre variable, y consiste en los mismos caracteres [XX] que aparecen en el asunto, más uno o dos dígitos y la extensión .SCR, por ejemplo: fdzzhq22.scr gg11.scr Cuando se ejecuta, el gusano muestra una imagen en una ventana con el título "Warm". [ver imagen en http://www.vsantivirus.com/scold-a.htm] El gusano crea los siguientes archivos: c:\windows\warm.scr c:\windows\[nombre al azar].scr Donde [nombre al azar] son los caracteres que se agregarán al asunto de los mensajes a enviar, siendo éste una copia del archivo adjunto. NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Agrega la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run ExeName32 = c:\windows\warm.scr El gusano utiliza las funciones MAPI (Messaging Application Programming Interface) del Outlook y Outlook Express, para propagarse a todos los contactos de sus libretas de direcciones. MAPI es una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc. También obtiene direcciones de archivos con extensiones .CTT de la carpeta "Mis Documentos", y de archivos .HTM y .HTML de la carpeta donde el usuario haya grabado páginas Web ("Guardar" o "Guardar como..." del menú "Archivo" del Internet Explorer). Esta carpeta está indicada en la siguiente clave del registro: HKCU\Software\Microsoft\Internet Explorer\Main Save Directory = [carpeta] * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\warm.scr Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: ExeName32 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Yaha.AF. Modifica archivos, elimina antivirus _____________________________________________________________ http://www.vsantivirus.com/yaha-af.htm Nombre: W32/Yaha.AF Tipo: Gusano de Internet Alias: W32.Yaha.AF@mm, W32/Yaha.y@MM, W32/Lentin.X, W32/Yaha.af@MM, W32/Yaha-Y, Win32.Yaha.Z, Win32/Yaha.AC.Worm, WORM_YAHA.AF, Win32/Yaha.AG Fecha: 12/nov/03 Plataforma: Windows 32-bit Tamaño: 58,880 bytes Esta descripción está disponible en VSAntivirus desde el 16 de noviembre (VSA 1227). Sin embargo, debido a la atención de los medios, y al reporte de nuevas infecciones, ha sido descripto como una nueva versión por algunos fabricantes. NOTA: Debido a la cantidad de variantes de este gusano, y al hecho de que cada antivirus ha examinado muestras en un orden diferente a como lo han hecho otras compañías, la denominación del virus varía entre fabricantes, por lo que esta descripción debe ser tomada solo como referencia. Esta versión está basada en la W32/Yaha.U. Cuando se ejecuta, crea los siguientes archivos: c:\windows\system\exe32.exe c:\windows\system\msmgr32.exe También se copia como MSMGR32.EXE en las siguientes carpetas de inicio: * Windows XP, 2000 (español e inglés) C:\Documents and Settings \All Users\Menú Inicio\Programas\Inicio \All Users\Start Menu\Programs\Startup \[nombre usuario]\Menú Inicio\Programas\Inicio \[nombre usuario]\Start Menu\Programs\Startup * Windows 95, 98, Me (español e inglés) C:\WINDOWS \All Users\Menú Inicio\Programas\Inicio \All Users\Start Menu\Programs\Startup \Menú Inicio\Programas\Inicio \Start Menu\Programs\Startup \Profiles\[nombre usuario]\Menú Inicio\Programas\Inicio \Profiles\[nombre usuario]\Start Menu\Programs\Startup NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", etc.). Crea el siguiente archivo, que es un troyano capaz de robar todo lo ingresado por teclado: \Cookies\anyuser@yahoo.com.txt La carpeta COOKIES puede estar en cualquiera de estas ubicaciones, según el sistema: C:\WINDOWS\Cookies C:\WINDOWS\Profiles\[nombre de usuario]\Cookies C:\Documents and Settings\Default User\Cookies C:\Documents and Settings\LocalService\Cookies C:\Documents and Settings\NetworkService\Cookies C:\Documents and Settings\[nombre de usuario]\Cookies El archivo es en realidad un .DLL renombrado, y no parece ejecutarse en todos los casos. Si funciona, la información capturada, es enviada a determinadas direcciones electrónicas. Crea el archivo siguiente para almacenar las direcciones electrónicas obtenidas del sistema, para luego propagarse: c:\windows\system\mss32.dll Crea las siguientes ramas en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MsManager = c:\windows\system\msmgr32.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService MsManager = c:\windows\system\msmgr32.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MsManager = c:\windows\system\msmgr32.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService MsManager = c:\windows\system\msmgr32.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RedWorm HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Winver HKEY_LOCAL_MACHINE\Winver Modifica las siguientes ramas en el registro: HKCU\Software\Microsoft\Windows \CurrentVersion\Policies\System DisableRegistryTools = "1" HKCR\batfile\shell\open\command (Predeterminado) = c:\windows\system\exe32.exe "%1" %* HKCR\comfile\shell\open\command (Predeterminado) = c:\windows\system\exe32.exe "%1" %* HKCR\exefile\shell\open\command (Predeterminado) = c:\windows\system\exe32.exe "%1" %* HKCR\piffile\shell\open\command (Predeterminado) = c:\windows\system\exe32.exe "%1" %* HKCR\scrfile\shell\open\command (Predeterminado) = c:\windows\system\exe32.exe "%1" %* Borra las siguientes entradas del registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run syshelp WinGate initialize Module Call initialize WinServices WindowsMGM HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices WinServices HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices WindowsMGM Borra los siguientes archivos si existen: c:\windows\system\winservices.exe c:\windows\system\nav32_loader.exe c:\windows\system\tcpsvs32.exe c:\windows\system\syshelp.exe c:\windows\system\wingate.exe c:\windows\system\winrpcsrv.exe c:\windows\system\winmgm32.exe c:\windows\sntmls.dat Agrega un archivo HOSTS o LMHOSTS para bloquear el acceso a los siguientes sitios pertenecientes a conocidos antivirus: www.avp.ch www.ca.com www.mcafee.com www.microsoft.com www.pandasoftware.com www.sophos.com www.symantec.com www.trendmicro.com www3.ca.com Impide se ejecuten las siguientes aplicaciones, intentando incluso borrar los ejecutables relacionados: Winservices TCPSVS32 NAV32_LOADER WINGATE.EXE SYSHELP.EXE WINMGM32.EXE WINK Enumera todas las ventanas activas, y si alguna tiene cualquiera de los siguientes nombres, el gusano intenta terminar el proceso relacionado: Windows Task Manager System Configuration Utility Registry Editor Process Viewer Enumera todas los procesos activos, y si alguno tiene cualquiera de los siguientes nombres, el gusano intenta terminarlo: _AVP32 _AVP32.EXE _AVPCC _AVPCC _AVPCC.EXE _AVPM _AVPM.EXE AckWin32 AckWin32 ACKWIN32 AckWin32.exe AckWin32.exe ACKWIN32.EXE ADVXDWIN ADVXDWIN.EXE agentw.exe ALERTSVC ALERTSVC.EXE ALOGSERV alogserv ALOGSERV alogserv.exe ALOGSERV.EXE AMON9X AMON9X.EXE ANTI-TROJAN ANTI-TROJAN.EXE ANTS ANTS.EXE APVXDWIN apvxdwin APVXDWIN.EXE apvxdwin.exe ATCON ATCON.EXE ATUPDATER ATUPDATER.EXE ATWATCH ATWATCH.EXE AUTODOWN AutoDown AUTODOWN AUTODOWN.exe AutoDown.exe AUTODOWN.EXE AutoTrace AutoTrace.exe AVCONSOL AVCONSOL.EXE AVGCC32 AVGCC32 AVGCC32.EXE AVGCC32.EXE AVGCTRL Avgctrl AVGCTRL.EXE Avgctrl.exe AvgServ AVGSERV AvgServ AVGSERV AVGSERV.EXE AVGSERV.EXE AVGSERV9 AVGSERV9.EXE AVGW AVGW.EXE avkpop avkpop.exe AvkServ AvkServ.exe avkservice avkservice.exe avkwctl9 avkwctl9.exe AVP AVP.EXE AVP32 AVP32.EXE AVPCC avpm avpm AVPM avpm.exe AVPM.EXE Avsched32 Avsched32.exe AvSynMgr AVSYNMGR AVSYNMGR AvSynMgr AVSYNMGR AVSYNMGR.exe AVWINNT AVWINNT.EXE AVXMONITOR9X AVXMONITOR9X AVXMONITOR9X.EXE AVXMONITOR9X.EXE AVXMONITORNT AVXMONITORNT AVXMONITORNT.EXE AVXMONITORNT.EXE AVXQUAR AVXQUAR AVXQUAR.EXE AVXQUAR.EXE.EXE AVXW AVXW.EXE blackd BLACKD blackd.exe BLACKD.EXE BlackICE BlackICE.exe CDP.EXE cfgWiz cfgWiz.exe Claw95 Claw95 CLAW95 Claw95.exe Claw95.exe CLAW95.EXE Claw95cf CLAW95CF Claw95cf.exe CLAW95CF.EXE cleaner cleaner.EXE cleaner3 cleaner3.EXE CMGRDIAN CMGrdian CMGRDIAN CMGRDIAN.EXE CONNECTIONMONITOR CONNECTIONMONITOR.EXE CPD cpd.exe cpd.exe CPDClnt CPDCLNT.EXE CPDClnt.exe CTRL CTRL.EXE defalert defalert.exe defscangui defscangui.exe DEFWATCH DEFWATCH.EXE DOORS DOORS DOORS.EXE DOORS.EXE DVP95 DVP95.EXE DVP95_0 DVP95_0.EXE EFPEADM EFPEADM EFPEADM.exe EFPEADM.EXE ETRUSTCIPE ETRUSTCIPE ETRUSTCIPE.exe ETRUSTCIPE.EXE EVPN EVPN EVPN.exe EVPN.EXE EXPERT EXPERT.EXE F-AGNT95 F-AGNT95.EXE fameh32 fameh32.exe fch32 fch32.exe fih32 fih32.exe fnrb32 fnrb32.exe F-PROT F-PROT.EXE F-PROT95 F-PROT95.EXE FP-WIN FP-WIN.EXE FRW FRW FRW.EXE FRW.EXE fsaa fsaa.exe fsav32 fsav32.exe fsgk32 fsgk32.exe fsm32 fsm32.exe fsma32 fsma32.exe fsmb32 fsmb32.exe f-stopw F-STOPW f-stopw.exe F-STOPW.EXE gbmenu gbmenu.exe GBPOLL gbpoll GBPOLL.EXE gbpoll.exe GENERICS GENERICS.EXE GUARD GUARD GUARD.EXE GUARD.EXE GUARDDOG GUARDDOG.EXE iamapp IAMAPP IAMAPP iamapp.exe IAMAPP.EXE IAMAPP.EXE iamserv IAMSERV iamserv.exe IAMSERV.EXE IAMSTATS IAMSTATS.EXE ICLOAD95 ICLOAD95.EXE ICLOADNT ICLOADNT ICLOADNT.EXE ICLOADNT.EXE ICMON ICMON.EXE ICSUPP95 ICSUPP95 ICSUPP95.EXE ICSUPP95.EXE ICSUPPNT ICSUPPNT.EXE IFACE IFACE.EXE IOMON98 IOMON98 IOMON98.EXE IOMON98.EXE ISRV95 ISRV95.EXE JEDI JEDI.EXE LDNETMON LDNETMON.EXE LDPROMENU LDPROMENU.EXE LDSCAN LDSCAN.EXE LOCKDOWN LOCKDOWN.EXE lockdown2000 LOCKDOWN2000 lockdown2000.exe LOCKDOWN2000.EXE LUALL LUALL.EXE LUCOMSERVER LUCOMSERVER.EXE LUSPT LUSPT.exe MCAGENT MCAGENT.EXE MCMNHDLR MCMNHDLR.EXE Mcshield.exe MCTOOL MCTOOL.EXE MCUPDATE MCUPDATE.EXE MCVSRTE MCVSRTE.EXE MCVSSHLD MCVSSHLD.EXE MGAVRTCL MGAVRTCL.EXE MGAVRTE MGAVRTE.EXE MGHTML MGHTML.EXE MINILOG MINILOG.EXE Monitor MONITOR Monitor.exe MONITOR.EXE MOOLIVE MOOLIVE.EXE MPFAGENT.EXE MPFSERVICE MPFSERVICE.exe MPFTRAY.EXE MWATCH MWATCH MWATCH.exe MWATCH.EXE NAV Auto-Protect NAV Auto-Protect NAVAP NAVAP navapsvc navapsvc NAVAPSVC.EXE navapsvc.exe navapw32 NAVAPW32 NAVAPW32.EXE NAVENGNAVEX15 NAVENGNAVEX15 NAVLU32 NAVLU32.EXE Navw32 NAVW32 Navw32.exe NAVWNT NAVWNT.EXE NDD32 NDD32.EXE NeoWatchLog NeoWatchLog.exe NETUTILS NETUTILS.EXE NISSERV NISSERV NISSERV.EXE NISSERV.EXE NISSERV.EXE NISUM NISUM NISUM.EXE NISUM.EXE NMAIN NMAIN.EXE NORMIST NORMIST NORMIST.EXE NORMIST.EXE notstart notstart.exe NPROTECT NPROTECT.EXE npscheck npscheck.exe NPSSVC NPSSVC.EXE NSCHED32 NSCHED32.EXE ntrtscan ntrtscan.EXE NTVDM NTVDM.EXE NTXconfig NTXconfig.exe Nui.EXE Nupgrade Nupgrade.exe NVC95 NVC95 NVC95.EXE NVC95.EXE NVSVC32 NVSVC32 NWService NWService.exe NWTOOL16 NWTOOL16.EXE PADMIN PADMIN.EXE PAVPROXY pavproxy PAVPROXY.EXE pavproxy.exe PCCIOMON PCCIOMON PCCIOMON.EXE PCCIOMON.EXE pccntmon pccntmon.EXE pccwin97 pccwin97.EXE PCCWIN98 PCCWIN98.EXE pcscan pcscan.EXE PERSFW PERSFW.EXE PERSWF PERSWF.EXE POP3TRAP POP3TRAP.EXE POPROXY POPROXY.EXE PORTMONITOR PORTMONITOR.EXE PROCESSMONITOR PROCESSMONITOR.EXE PROGRAMAUDITOR PROGRAMAUDITOR.EXE PVIEW95 PVIEW95.EXE rapapp.exe RAV7 RAV7.EXE RAV7WIN RAV7WIN.EXE REALMON REALMON.EXE Rescue RESCUE Rescue.exe RESCUE.EXE RTVSCN95 RTVSCN95.EXE RULAUNCH RULAUNCH.EXE sbserv sbserv.exe SCAN32 SCAN32.EXE SCRSCAN SCRSCAN.EXE Smc SMC.EXE Sphinx SPHINX Sphinx.exe SPHINX.EXE SPYXX SPYXX.EXE SS3EDIT SS3EDIT.EXE SWEEP95 SWEEP95.EXE SweepNet SweepNet SWEEPSRV.SYS SWEEPSRV.SYS SWNETSUP SWNETSUP.EXE SymProxySvc SymProxySvc.exe SYMTRAY SYMTRAY.EXE TAUMON TAUMON.EXE TC.EXE TCA TCA.EXE TCM TCM.EXE TDS-3 TDS-3.EXE TFAK TFAK.EXE vbcmserv vbcmserv vbcmserv.exe vbcmserv.exe VbCons VbCons VbCons.exe VbCons.exe VET32 VET32 VET32.exe VET32.EXE Vet95 VET95 Vet95.exe VET95.EXE VetTray VETTRAY VetTray.exe VETTRAY.EXE VIR-HELP VIR-HELP.EXE VPC32 VPC32.EXE VPTRAY VPTRAY.EXE VSCHED VSCHED.EXE VSECOMR VSECOMR VSECOMR.EXE VSECOMR.EXE vshwin32 VSHWIN32 VSHWIN32 VSHWIN32.EXE VSMAIN VSMAIN.EXE vsmon vsmon.exe VSMON.EXE VSSTAT VSSTAT VSSTAT.EXE WATCHDOG WATCHDOG.EXE WEBSCANX WEBSCANX WEBSCANX.EXE WEBTRAP WEBTRAP.EXE WGFE95 WGFE95.EXE WIMMUN32 WIMMUN32.EXE WrAdmin WRADMIN WRADMIN WrAdmin.exe WRADMIN.EXE WRADMIN.EXE WrCtrl WRCTRL WRCTRL WrCtrl.exe WRCTRL.EXE zapro zapro.exe zonealarm zonealarm.exe WINSERVICES TCPSVS32 NAV32_LOADER WINGATE.EXE SYSHELP.EXE WINMGM32.EXE WINK AAAA Examina la carpeta C:\WINDOWS\INETPUB\WWWROOT (si existe un servidor instalado en la máquina), y sobrescribe todos los archivos con extensión .HTM o .HTML con el siguiente contenido: <BR><BR><BR><CENTER><B><U> Ha..Ha..Haaa...</CENTER></U></B> Examina todos los discos fijos y remotos, y todas las carpetas compartidas, e intenta en todos los casos las siguientes acciones: 1. Se copia en las siguientes carpetas: \windows\mccp32.exe \win98\mccp32.exe \win95\mccp32.exe \winnt\mccp32.exe \winme\mccp32.exe \winxp\mccp32.exe 2. Agrega la siguiente línea al archivo \WINDOWS\WIN.INI, bajo la entrada [WINDOWS]: [windows] run=mccp32.exe Obtiene del registro la ubicación de la carpeta compartida del KaZaa, y si la encuentra, renombra con extensión .MP3, todos los archivos .COM, .EXE o .SCR, cuyos tamaños sean mayores o iguales al del gusano (58,880 bytes). Luego, se copia el mismo con el nombre del archivo original .COM, .EXE o .SCR. El gusano agrega algunos bytes (ceros), al final de su copia, para quedar del mismo tamaño del archivo original. Por ejemplo, si existe un archivo NOMBRE.EXE, lo copia como NOMBRE.MP3 y luego se copia él mismo como NOMBRE.EXE. El gusano utiliza su propia rutina SMTP para enviarse a si mismo a todos los contactos de la libreta de direcciones, MSN Messenger, Yahoo Pager, ICQ Pager, así como a las direcciones encontradas en todos los archivos con extensiones .HT, .HTA, .HTM y .HTML. Los mensajes poseen las siguientes características: Versión 1: Asunto: Fw: Critical Patches Datos adjuntos: MS-Q3946.EXE Texto: Hi, I got this mail from Microsot support. Atlast Microsoft has got a comprehensive patch for all the vulnerabilities. Once this patch is applied, it takes care of all the recent virus problems in Microsoft products. Later.... Microsoft support wrote: >Thanks for using Microsoft products. Recent viruses have prompted micrsoft to issue patches >to all its customers worldwide. > >We are including a comprehensive patch for all windows platforms. This patch gives you >comprehensive protection against all recent viruses. > >Yours sincerely, >Kelly >Team Support >Microsoft Inc Versión 2: Asunto: Hi check your computer with this!!! Datos adjuntos: FixBlast.com Texto: Hi, I am cutting and pasting the message i got from symantec antivirus I think the last mail you sent me was infected with W32.Blaster. Rgds Dear customer, We are enclosing Fix for both Welcha and Blaster worms as per your request. Step by Step Instructions for Cleaning W32.Blaster/W32.Welcha Worms: 1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop 2. To check the authenticity of the digital signature, refer to the section, "Digital signature." 3. Close all the running programs before running the tool. 4. If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in indows Me/XP," for additional details. In case of any clarifications please do not hesitate to contact us. Best Regards, Neil Thomas Symantec Support Versión 3: Asunto: Your previous message is infected Datos adjuntos: FixBlast.com Texto: Hi, Your previous mail to me is infected with Blaster. I am attaching the tool i got from symantec site please clean your machine with the same. Best Rgds, Versión 4: Asunto: Fix for New Worm Threat Datos adjuntos: FixBlastz.com Texto: Hi, I got this mail from Mcafee Antivirus Support. There is a new variant of W32.Blaster worm. I got a special fix today in the early hours, please check your machine with the attached tool. I have also cut and pasted the steps for cleaning. Rgds Dear customer, We are enclosing Fix for W32.Blaster.Z as per your request. Step by Step Instructions for Cleaning W32.Blaster.Z 1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop 2. To check the authenticity of the digital signature, refer to the section, "Digital signature." 3. Close all the running programs before running the tool. 4. If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details. In case of any clarifications please do not hesitate to contact us. Best Regards, Jerry Nelson McAfee Support Versión 5: De: Microsoft Support <support@microsoft.com> Asunto: Critical Updates Datos adjuntos: MS-Q3526.com Texto: Dear Customer, Thanks for using Microsoft products. Recent viruses have prompted micrsoft to issue patches to all its customers worldwide. We are including a comprehensive patch for all windows platforms. This patch gives you comprehensive protection against all recent viruses. Yours sincerely, JimThompson Team Support Microsoft Inc person who registers with us through your account, we will pay you $1.5.Once your account reaches the limit of $50, your payment will be send to your registration address by check or draft. Please note that the registration process is completely free which means by participating in this program you will only gain without loosing anything. Best Regards, Admin, Versión 6: De: Symantec Support <support@symantec.com> Asunto: Fix for W32.Blaster/Welcha Datos adjuntos: FixBlast.com Texto: Dear customer, We are enclosing Fix for both Welcha and Blaster worms as per your request. Step by Step Instructions for Cleaning W32.Blaster/W32.Welcha Worms: 1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop (or removable media that is known to be uninfected, if possible). 2. To check the authenticity of the digital signature, refer to the section, "Digital signature." 3. Close all the running programs before running the tool. 4. If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details. In case of any clarifications please do not hesitate to contact us. Best Regards, Neil Thomas Symantec Support Versión 7: De: Mcafee Support <support@nai.com> Asunto: Fix for the latest W32/Blaster.Z Datos adjuntos: Fixblastz.com Texto: Dear customer, We are enclosing Fix for W32.Blaster.Z as per your request. Step by Step Instructions for Cleaning W32.Blaster.Z 1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop (or removable media that is known to be uninfected, if possible). 2. To check the authenticity of the digital signature, refer to the section, "Digital signature." 3. Close all the running programs before running the tool. 4. If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details. In case of any clarifications please do not hesitate to contact us. Best Regards, Jerry Nelson McAfee Support Versión 8: De: Microsoft Support <support@microsoft.com> Asunto: Critical Patches Datos adjuntos: MS-Q31338.ZIP Texto: Dear Customer, Thanks for using Microsoft products. Recent viruses have prompted micrsoft to issue patches to all its customers worldwide. We are including a comprehensive patch for all windows platforms. This patch gives you comprehensive protection against all recent viruses. Yours sincerely,. JimThompson Team Support Microsoft Inc Versión 9: De: System Administrator <admin@kpmg.com.com> Asunto: Fix for recent viruses Datos adjuntos: FIXES.ZIP Texto: Hi All, I am sending these fixes to the recent viruses which have been making rounds in the IT world. I request you to install the same in your systems and pass it to others. Yours sincerely, James System Administrator KPMG Versión 10: De: HRD Consultants <hr@consultants.com> Asunto: Your details Datos adjuntos: Requirement.zip Texto: Hi, We have your email id in our database. We have enclosed our requirements. Expecting your reply at the earliest. Kind Rgds, James Martin Versión 11: De: Symantec Support <support@symantec.com> Asunto: Fix for W32.Blaster/W32.Welcha Datos adjuntos: FixBlast.zip Texto: Dear customer, We are enclosing Fix for both Welcha and Blaster worms as per your request. Step by Step Instructions for Cleaning W32.Blaster/W32.Welcha Worms: 1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop (or removable media that is known to be uninfected, if possible). Extract from the zip file. 2. To check the authenticity of the digital signature, refer to the section, "Digital signature" 3. Close all the running programs before running the tool. 4. If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details. In case of any clarifications please do not hesitate to contact us. Best Regards, Keith Johnson Symantec Support Versión 12: De: McAfee Support <support@mcafee.com> Asunto: Fix for latest W32.Blaster.Zworm Datos adjuntos: FixBlastz.zip Texto: Dear customer, We are enclosing Fix for W32.Blaster.Z as per your request. Step by Step Instructions for Cleaning W32.Blaster.Z 1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop (or removable media that is known to be uninfected, if possible). 2. To check the authenticity of the digital signature, refer to the section, "Digital signature" 3. Close all the running programs before running the tool. 4. If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in indows Me/XP," for additional details. In case of any clarifications please do not hesitate to contact us. Best Regards, Richard McAfee Support Versión 13: De: Support eEye <support@eeye.com> Asunto: Microsoft RPC still vulnerable - Latest worm Datos adjuntos: RPCDCOM.ZIP Texto: Microsoft RPC Heap Corruption Vulnerability - Part II Severity: High (Remote Code Execution). Description: eEye Digital Security has discovered a critical remote vulnerability in the way Microsoft Windows handles certain RPC requests.The RPC (Remote Procedure Call) protocol provides an inter-process communication mechanism allowing a program running on one computer to execute code on a remote system. ' The vulnerability exists within the DCOM (Distributed Component Object Model) RPC interface. This interface handles DCOM object activation requests sent by client machines to the server. By sending a malformed request packet it is possible to overwrite various heap structures and allow the execution of arbitrary code. Please install the attached patch immediately. Versión 14: Asunto: Details. Datos adjuntos: details.pif Texto: Hi, See the attached file for details. Rgds Versión 15: Asunto: Thank you Datos adjuntos: thankyou.zip Texto: Please see the attached file for details Rgds Versión 16: Asunto: Your document Datos adjuntos: your_documents.zip Texto: See the attached file for your documents Rgds Versión 17: Asunto: Your application Datos adjuntos: application.zip Texto: Please see the attached file for applicaion details. Rgds Versión 18: Asunto: Wicked Screen Saver Datos adjuntos: wickedsaver.zip Texto: Hi, This is the most wicked screen saver i have ever seen.Enjoy!!!' Rgds Versión 19: Asunto: Naughty Movie Clip Datos adjuntos: movie3498.zip Texto: Hi, This is an interesting movie clip. You will enjoy it. Rgds Versión 20: Asunto: Hi check your computer with this!!! Datos adjuntos: FixBlast.zip Texto: Hi, I am cutting and pasting the message i got from symantec antivirus I think the last mail you sent me was infected with W32.Blaster. Bye Dear customer, We are enclosing Fix for both Welcha and Blaster worms as per your request. Step by Step Instructions for Cleaning W32.Blaster/W32.Welcha Worms: 1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop 2. To check the authenticity of the digital signature, refer to the section, "Digital signature." 3. Close all the running programs before running the tool. 4. If you are running Windows XP, then disable System Restore. In case of any clarifications please do not hesitate to contact us. Best Regards, Neil Thomas Symantec Support Versión 21: Asunto: I got an infected mail from you Datos adjuntos: FixBlast.zip Texto: Hi, Your previous mail to me is infected with Blaster. I am attaching the tool i got from symantec site please clean your machine with the same. Best Rgds, Versión 22: Asunto: Fix for New Worm Threat. Datos adjuntos: FixBlastz.zip Texto: Hi, I got this mail from Mcafee Antivirus Support. There is a new variant of W32.Blaster worm. I got a special fix today in the early hours, please check your machine with the attached tool. I have also cut and pasted the steps for cleaning. Rgds Para dificultar el seguimiento del usuario infectado, el gusano utiliza direcciones de reenvío falsas: rly-xa04.mx.aol.com mx.aol.com y-xa04.mx.aol.com El gusano puede realizar ataques de denegación de servicio (DoS) a sitios al azar y también predeterminados, en los puertos 135, 139, y 445. Algunos de los sitios predeterminados: pakrail.com paic.com.pk jamaat.org kse.net.pk pak.gov.pk * Reparación manual Debido a la naturaleza destructiva del gusano, probablemente deberá recuperar archivos borrados de un respaldo anterior, o reinstalar Windows, si la infección se produce. Esta información debe tomarse solo como referencia: * Preparación previa Descargue el siguiente archivo (repara2.reg): http://www.videosoft.net.uy/repara2.reg * Finalizar el proceso en memoria del virus * Windows 95, 98, Me, XP 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Editar el registro, en todos sus discos duros o computadoras en red Haga doble clic sobre el archivo REPARA2.REG descargado antes (ver "Preparación previa"), para agregar su contenido al registro. * Editar el archivo WIN.INI, en todos sus discos duros o computadoras en red 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [windows] run=mccp32.exe Debe quedar como: [windows] run= 3. Grabe los cambios y salga del bloc de notas. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano 1. Desde el Explorador de Windows, localice y borre los siguientes archivos, en todos sus discos duros o computadoras en red: c:\windows\system\exe32.exe c:\windows\system\msmgr32.exe c:\windows\system\mss32.dll 2. Desde el Explorador de Windows, localice y borre el archivo MSMGR32.EXE de las siguientes posibles carpetas, en todos sus discos duros o computadoras en red (según el sistema): * Windows XP, 2000 (español e inglés) C:\Documents and Settings \All Users\Menú Inicio\Programas\Inicio \All Users\Start Menu\Programs\Startup \[nombre usuario]\Menú Inicio\Programas\Inicio \[nombre usuario]\Start Menu\Programs\Startup * Windows 95, 98, Me (español e inglés) C:\WINDOWS \All Users\Menú Inicio\Programas\Inicio \All Users\Start Menu\Programs\Startup \Menú Inicio\Programas\Inicio \Start Menu\Programs\Startup \Profiles\[nombre usuario]\Menú Inicio\Programas\Inicio \Profiles\[nombre usuario]\Start Menu\Programs\Startup 3. Desde el Explorador de Windows, localice y borre el archivo ANYUSER@YAHOO.COM.TXT de las siguientes posibles carpetas, en todos sus discos duros o computadoras en red (según el sistema): C:\WINDOWS\Cookies C:\WINDOWS\Profiles\[nombre de usuario]\Cookies C:\Documents and Settings\Default User\Cookies C:\Documents and Settings\LocalService\Cookies C:\Documents and Settings\NetworkService\Cookies C:\Documents and Settings\[nombre de usuario]\Cookies 4. Desde el Explorador de Windows, localice y borre los siguientes archivos, donde [XX] representa todos los discos fijos y remotos, y todas las carpetas compartidas: [XX]\windows\mccp32.exe [XX]\win98\mccp32.exe [XX]\win95\mccp32.exe [XX]\winnt\mccp32.exe [XX]\winme\mccp32.exe [XX]\winxp\mccp32.exe 5. Borre el archivo HOSTS y LMHOST, en todos sus discos duros o computadoras en red: c:\windows\hosts c:\windows\lmhosts c:\windows\system32\drivers\etc\hosts c:\windows\system32\drivers\etc\lmhosts HOSTS y LMHOSTS son archivos en formato texto, sin extensión, ubicados en windows o windows\system32\drivers\etc, dependiendo de la versión de Windows. Dichos archivos son usados por el sistema operativo para asociar nombres de dominio con direcciones IP (LMHOST para nombres NetBIOS). Si estos archivos existen, el sistema los examina antes de hacer una consulta a un servidor DNS. Estos archivos normalmente no son utilizados en una instalación doméstica. En caso contrario, confirme con el administrador de su red si los mismos son necesarios, y de lo contrario bórrelos. 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". 7. Borre también los mensajes electrónicos similares a los descriptos antes. Si no se realiza cuidadosamente este procedimiento de limpieza, el gusano puede volver a modificar ciertos archivos, o incluso el registro. Si es necesario, reitere los mismos pasos luego de completar la primera limpieza. * Información adicional * Reinstalar páginas servidor Web Si tiene instalado un servidor Web en C:\INETPUB\WWWROOT\, (o C:\WINDOWS\INETPUB\WWWROOT\), deberá reinstalar o recuperar de un respaldo limpio las páginas sobrescritas por el troyano. * Actualizar Internet Explorer Actualice su Internet Explorer según se explica en el siguiente artículo: http://www.vsantivirus.com/vulms03-048.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Actualizaciones: 10/dic/03 - Se amplía la descripción original. 10/dic/03 - Alias: W32/Lentin.X, W32/Yaha.af@MM, W32/Yaha-Y 10/dic/03 - Alias: Win32.Yaha.Z, Win32/Yaha.AC.Worm 10/dic/03 - Alias: WORM_YAHA.AF, Win32/Yaha.AG (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Anarch.A. Se propaga por e-mail, redes P2P e IRC _____________________________________________________________ http://www.vsantivirus.com/anarch-a.htm Nombre: W32/Anarch.A Tipo: Gusano de Internet Alias: Anarch, W32.HLLW.Anarch@mm, Win32/Anarch.A, BloodHound.W32.5 Fecha: 16/nov/03 Plataforma: Windows 32-bit Tamaño: 40,960 bytes Gusano programado en Microsoft Visual Basic, que intenta propagarse a través de las redes de intercambio de archivos entre usuarios (P2P), y de los canales de IRC utilizando el mIRC. Utiliza el Microsoft Outlook y Outlook Express, para enviarse por correo electrónico a todos los contactos de la libreta de direcciones. El mensaje tiene las siguientes características: Asunto: New Media Player!! Datos adjuntos: M_Player_v1.0.exe Texto: Hi-This new media player will blow you away try it! Para propagarse utiliza las siguientes redes Peer-To-Peer (P2P): Bearshare eDonkey2000 Gnucleus Grokster ICQ KaZaA KaZaA Lite KMD Limewire Morpheus Overnet Rapigator Shareaza Tesla WinMX XoloX Cuando se ejecuta, se copia en la siguiente ubicación: c:\windows\inisvc.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Agrega la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Win_Library = c:\windows\inisvc.exe Crea la siguiente carpeta dentro de Windows\System, con los atributos de oculto (+H): c:\windows\system\data32 NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Dentro de la carpeta DATA32, se copia a si mismo con los siguientes nombres: Anarchist_CookBook.exe DVD_Wizard.exe Fake_AOL_Messenger.exe Hack_AOL_Destroy.exe Hotmail_hack.exe ICQ_Lite.exe M_Player_v1.0.exe PS2_TO_ISO.exe Rise_Of_Nations.exe sega_emulator.exe WW3_Online.exe Yahoo_Messenger.exe Crea además una carpeta llamada SETTINGS (también con atributos de oculto), bajo la carpeta actual, y se copia en ella con el siguiente nombre: [carpeta actual]\settings\rad[XXX].tmp_nude.exe Donde [XXX] son caracteres al azar. El gusano se copia además en las siguientes carpetas, si existen en el sistema, con los nombres que se dan más abajo: c:\archivos de programa\bearshare\shared c:\archivos de programa\edonkey2000\incoming c:\archivos de programa\gnucleus\downloads c:\archivos de programa\grokster\my grokster c:\archivos de programa\icq\shared folder c:\archivos de programa\kazaa lite k++\my shared folder c:\archivos de programa\kazaa lite\my shared folder c:\archivos de programa\kazaa\my shared folder c:\archivos de programa\kmd\my shared folder c:\archivos de programa\limewire\shared c:\archivos de programa\mirc\download c:\archivos de programa\morpheus\my shared folder c:\archivos de programa\overnet\incoming c:\archivos de programa\rapigator\share c:\archivos de programa\shareaza\downloads c:\archivos de programa\tesla\files c:\archivos de programa\winmx\shared c:\archivos de programa\xolox\downloads c:\my download files c:\my shared folder c:\program files\bearshare\shared c:\program files\edonkey2000\incoming c:\program files\gnucleus\downloads c:\program files\grokster\my grokster c:\program files\icq\shared folder c:\program files\kazaa lite k++\my shared folder c:\program files\kazaa lite\my shared folder c:\program files\kazaa\my shared folder c:\program files\kmd\my shared folder c:\program files\limewire\shared c:\program files\mirc\download c:\program files\morpheus\my shared folder c:\program files\overnet\incoming c:\program files\rapigator\share c:\program files\shareaza\downloads c:\program files\tesla\files c:\program files\winmx\shared c:\program files\xolox\downloads c:\windows\system\data32 Nombres de archivos: AD_Aware_PRO.exe ADSL_CableModem_Speedup.exe Beyonce_Screensaver_NUDE.exe Cable_Modem_Tweak.exe CALC.EXE Delphi_6_Serial_Works.exe Girl_Next_Door.exe goat.exe Norton_SystemWorks.exe Office_XP_Serial.exe Port_Scan.exe Sobig_F_Sourcecode.exe Tweak_XP.exe Visual_Basic_6_keygen.exe Finalmente agrega también las siguientes entradas en el registro, para compartir la carpeta DATA32 con otros usuarios del KaZaa: HKCU\SOFTWARE\KaZaA\LocalContent Dir0 = 012345:c:\windows\system\Data32 DisableSharing = "0" * Reparación manual * Deshabilitar las carpetas compartidas de programas P2P Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema. Para ello, siga las instrucciones del siguiente artículo: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\inisvc.exe Borre también la carpeta DATA32 y su contenido: c:\windows\system\data32 Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Win_Library 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \SOFTWARE \KaZaA \LocalContent 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Dir0 DisableSharing 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1252 Año 8, Jueves 11 de diciembre de 2003