Mostrando mensaje 323     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1274 Año 8, viernes 2 de enero de 2004 Fecha: 2 de Enero, 2004  06:59:41 (+0100) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1274 Año 8, viernes 2 de enero de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Troj/Darium.A. Muestra un botón, y borra todo su duro 2 - W32/Rosya.L. Envía una supuesta imagen por IRC 3 - Back/Reign.D. Caballo de Troya de acceso remoto via IRC 4 - W32/Quis.A. Asunto: "Merry Christmas!" _____________________________________________________________ 1 - Troj/Darium.A. Muestra un botón, y borra todo su duro _____________________________________________________________ http://www.vsantivirus.com/troj-darium-a.htm Nombre: Troj/Darium.A Tipo: Caballo de Troya Alias: Darium, TROJ_DARIUM.A, Win32/Darium.A Plataforma: Windows 32-bit Tamaño: 32,768 bytes Fecha: 1/ene/04 Se trata de un destructivo troyano que se disfraza de un parche (crack patch), para desproteger ilegalmente un software específico, Imperator FLA. Cuando se ejecuta por primera vez, permanece residente en memoria, mostrando un pequeño botón en la pantalla del equipo infectado: [ver imagen en http://www.vsantivirus.com/troj-darium-a.htm] Si el usuario hace clic en el botón, el troyano procede a borrar todos los archivos del disco duro, comenzando con el directorio de Windows. Esto se repite cada vez que el usuario pinche sobre dicho botón (mientras el sistema responda). Debido a su naturaleza destructiva, la única solución luego de su acción, es recuperar el sistema desde un respaldo completo, o en su defecto reinstalar Windows y todos sus programas. Si no posee un respaldo de sus archivos personales, y su computadora contiene información crítica que no desea perder, apágela y no haga absolutamente nada más con su disco duro. Recurra luego a un servicio técnico especializado para realizar las tareas de recuperación. Cada intento de reiniciar Windows si no se toman las medidas necesarias, puede hacer que la información borrada sea imposible o muy difícil de recuperar. Si aún así desea intentar recuperar la información por sus propios medios, le sugerimos la siguiente utilidad de uso gratuito: Recuperar datos borrados: PC Inspector File Recovery http://www.vsantivirus.com/pcinspector.htm Si no se llegó a ejecutar, eliminar el troyano es tan simple como borrar el ejecutable que lo contiene. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Rosya.L. Envía una supuesta imagen por IRC _____________________________________________________________ http://www.vsantivirus.com/rosya-l.htm Nombre: W32/Rosya.L Tipo: Gusano de Internet Alias: Win32.Rosya.L, Win32/Rosya.L, W32/Golember.L, W32/Rosya.worm!irc, Win32/Rosya.43520.Worm Fecha: 30/dic/03 Tamaños: 43,520 bytes, 40,839 bytes (ZIP) Gusano que se propaga a través de canales de IRC (Internet Relay Chat). Es un ejecutable comprimido con la herramienta ASPack, y se distribuye dentro de un archivo .ZIP: emily2003.zip Cuando el usuario abre el ZIP y ejecuta su contenido, se produce la infección, copiándose el gusano en la siguiente ubicación: c:\windows\hndlmsn.exe El gusano también crea una imagen en el directorio de Windows y la muestra (una joven mujer tomada por una webcam): c:\windows\janey.jpg NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Luego modifica la siguiente clave del registro, para ejecutarse automáticamente en cada reinicio del sistema: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run N2IregChk = c:\windows\hndlmsn.exe Crea entonces un archivo comprimido (con PKZIP): c:\windows\emilly2003.zip Este ZIP contiene una copia del gusano con el siguiente nombre: emily_2003.scr El gusano crea el mutex "KIMWILDE2". Un MUTEX (mutual exclusion object) Es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del programa en memoria. Luego el gusano se conecta al siguiente servidor de IRC: eu.undernet.org Y se une a numerosos canales, utilizando los siguientes nombres: abby abigail adai addie adela adele adeline adriana agnes aida aidia aileen aimee alana alberta alexis alice alicia alisa alisha alison allie allison allyson alma alta althea alyssa amanda amber amelia amie ammy andrea angel angela angelia angie anita anna anna anne annette annie annna antonia april arlene ashlee ashley audra audrey aurora autumn avai avis barbara barbra beatriz becky belinda benita bernice bertha bessie beth bethany betsy bette bettie betty bettye beulah beverly bianca blanca blanche bobbi bonita bonnie brandi brandy brenda brianna bridget brooke caitlin callie camille candace candice candy cara carla carlene carmela carmen carol carole carolyn carrie casey cassie cathy cecelia cecile cecilia celeste celia chandra charity chelsea cheri cherie cheryl christa christi christy cindy claire clara clare clarice claudia cleo colleen connie cora corinne corrine crystal cynthia daisy dale dana daphne darcy darla darlene dawn deana deanna debbie debora deborah debra deee delia della delores deloris dena denise desiree diana diane dianna dianne dina dixie dolly dolores dona donna dora doreen doris dorothy dorthy dray drayle earlene earline ebony edith edna effie eileen elaine eleanor elena elinor elisa elise eliza ella ellen elma elnora eloise elsa elsie elva elvira emilia emily emma erica ericka erika erin erma essie estela estella estelle ester esther ethel etta eugenia eula eunice evaa evee evelyn faith fannie faye faye felicia fern flora flossie frances francis freda frieda gail gale geneva georgia gina ginger gladys glenda glenna gloria grace gracie greta gwen haley hannah harriet hattie hazel heather heidi helen helena helene hilary hilda hillary holly hope ilaa imogene inez ingrid irene iris irma isabel ivai ivye jackie jaclyn jaime jami jamie jana jane janelle janet janette jani janice janie janine janis jasmine jayne jean jeanie jeanine jeanne jeannie jeinine jenifer jenna jennie jenny jeri jerri jessica jessie jewel jewell jill jillian jimmie joan joann joanna joanne jocelyn jodi jodie jody johanna johnnie jolene joni jordan josie joyce joye juana juanita judith judy julia julie june justine kara karen kari karin karina karla kate kathryn kathy katie katrina kaye kayla keisha kelley kelli kellie kelly kelsey kendra keri kerri kerry kimmy kirsten krista kristen kristi kristie kristin kristy krystal lacey ladonna lana lara latasha latisha latonya latoya laura laurel lauren laurie laverne leah leah leann leanne leigh leila lela lena lenora lenore leola leona lesley leslie letha leticia lidia lila lilia lillian lillie lilly lily linda lindsay lindsey lisa liza lizzie lois lola lora loraine lorena lorene loretta lori lorie lorna lorrie lottie louisa louise lourdes lousi lucia lucile lucille lucinda lucy luella luisa lula lupe luzi lydia lynda lynette lynn lynne mabel mable maggie malinda mallory mamie mandy manuela marcia marcie marcy margie margo margret maria marian maribel marie marilyn marina marion marisa marisol marissa maritza marla marlene marsha marta martha martina mary maryann marylou matilda mattie maude maureen mavis maxine mayei mayra meagan megan meghan melanie melba melinda melisa melissa melody miai michele mildred millie mindy minerva minnie miranda miriam misty mollie molly mona monica monique morgan muriel myra myrna myrtle nadine nancy nannie naomi natalie natasha nelda nell nellie nettie neva nichole nicole nikki nina nita noemi nola nora noreen norma odessa ofelia olay olga opal orae paige pamela pamm patrica patrice patsy patti pattra patty paula pauline pearl pearlie peggy penny petra phyllis polly rachael rachel ramona randi raquel raye reba rebecca rebekah regina rena rene renee rhoda rhonda rita roberta robin robyn ronda rosa rosalie rosalyn rosario rose rosetta rosie roxanne ruby ruth ruthie sabrina sadie sallie sally sandra sandy sara sarah saundra selena selma serena shana shanna shannon shari sharon sharron shauna shawn shawna sheena sheila shelby shelia shelley shelly sheri sherri sherrie sherry sheryl shirley silvia simone socorro sofia sondra sonia sonja sonya sophia sophie stacey staci stacie stacy stella suey summer susan susana susanne susie suzanne sybil sylvia tabatha tabitha tamara tameka tami tamika tammie tammy tania tanisha tanya tara tasha taylor teresa teri terri terrie terry thelma theresa therese tiar tiffany tina tommie toni tonia tonya tracey traci tracie tracy tricia trina trisha trudy ursula valarie valerie vanessa velma vera verna vicki vickie vicky viola violet virgie vivian wanda wendy whitney wilma winnie yolanda yvette yvonne zelma En los canales de chat, despliega alguna de las siguientes frases: 17/f/texas 18/f/Boston 19/f/Ireland 23/f/Walkersville 24-f-uk 26/f/Florida 26-f-Scotland doing_okay? how_are_you? how_you_doin? how's_life? how's_things? Luego ofrece intercambiar imágenes, con alguna de las siguientes preguntas: do_you_have_a_pic? have_a_pic?_this_is_me.. I'll_send_my_pic._send_yours? send_me_a_pic?_I'll_send_mine swap_pix? Y utiliza alguno de los siguientes agradecimientos como respuesta: allo:) ctc ello:o) greetings hello hey:) hi hi_there howdy sal salut Después de una conversación, el gusano se envía a si mismo al usuario que responde, en un archivo .ZIP como el descripto al principio. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\hndlmsn.exe c:\windows\janey.jpg c:\windows\emilly2003.zip Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: N2IregChk 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Back/Reign.D. Troyano de acceso remoto via IRC _____________________________________________________________ http://www.vsantivirus.com/back-reign-d.htm Nombre: Back/Reign.D Tipo: Caballo de Troya Alias: Win32.Reign.D, Backdoor.Trojan, BackDoor-CAY, Win32/Reign.D.Trojan Plataforma: Windows 32-bit Fecha: 23/dic/03 Actualización: 1/ene/04 Caballo de Troya controlado vía IRC, que permite el acceso no autorizado de un atacante remoto a la computadora infectada. Cuando se ejecuta, se copia a si mismo en la siguiente ubicación: c:\windows\system\thememan.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Agrega la siguiente entrada al registro, para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run thememan = c:\windows\system\thememan.exe El troyano crea también el siguiente archivo, que funciona como capturador de teclado (keylogger): c:\windows\system\hkreqv2.dll La información capturada se almacena en el siguiente archivo: \temp\iedbg.pst Nota: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. Una vez activo, intenta conectarse a un servidor IRC predeterminado. Si lo logra, descarga un archivo de configuración que le indica el canal al que unirse para recibir las instrucciones del atacante. Una vez tomado el control, el intruso puede realizar en la computadora infectada las siguientes acciones (entre otras): º Cerrar la sesión del usuario º Descargar y ejecutar archivos desde Internet º Enviar capturas de teclado (keylogger) º Iniciar un servidor FTP en la máquina infectada º Reiniciar o apagar el equipo Utilizando el servidor FTP que instala en el puerto 2121, el atacante podrá realizar acciones como éstas: º Listar archivos y sus tamaños º Cambiar o crear directorios º Ejecutar o borrar archivos º Ejecutar y obtener capturas del keylogger Aunque no posee un mecanismo de propagación, debemos considerar que el mismo podría ser enviado en forma premeditada o accidental, por correo electrónico, o descargado de sitios maliciosos, o a través de redes P2P o IRC. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. * Reparación manual Para eliminar manualmente este troyano de un sistema infectado, siga estos pasos: 1. Detenga el proceso del troyano en memoria: a. en Windows 9x y Me, pulse CTRL+ALT+SUPR. b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC. 2. En ambos casos, en la lista de tareas, señale la siguiente: thememan o thememan.exe 3. Seleccione el botón de finalizar tarea. En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos. 4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: thememan 7. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Antivirus Para la limpieza de este troyano, actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Borrado manual de los archivos creados por el troyano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\thememan.exe c:\windows\system\hkreqv2.dll \temp\iedbg.pst Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Quis.A. Asunto: "Merry Christmas!" _____________________________________________________________ http://www.vsantivirus.com/quis-a.htm Nombre: W32/Quis.A Tipo: Gusano de Internet y virus infector de ejecutables Alias: Quis, Win32/Quis.A, PE_QUIS.A, W32.HLLP.Belzy@mm, Win32/HLLP.Ziquy, W32/Quiz.A, W32/Quis@MM Relacionados: VBS_QUIS.A Asunto: Merry Christmas! Datos adjuntos: xmas.scr Plataforma: Windows 32-bit Tamaño: 32,768 bytes Fecha: 23/dic/03 Actualizado: 1/ene/04 Gusano escrito en Microsoft Visual C++ y comprimido con la utilidad UPX, que se envía masivamente por correo electrónico en un mensaje con las siguientes características: Asunto: Merry Christmas! Texto: You've probably received enough e-cards. Here's a nice Christmas screensaver instead :) Datos adjuntos: xmas.scr También es un virus que infecta todos los archivos con extensión .EXE en las siguientes carpetas: \my documents (\mis documentos) c:\progra~1\mirc Agrega 32,768 bytes de su código al comienzo de los archivos infectados. Además, sobrescribe todos los archivos con la extensión .RTX que encuentre en la carpeta "My Documents" o "Mis documentos". Cuando se ejecuta, crea los siguientes archivos: c:\xmas.scr c:\startup.exe También crea las siguientes entradas en el registro para ejecutar en cada reinicio de Windows una aplicación de preguntas y respuestas (no es el gusano propiamente dicho): HKLM\Software\Microsoft\Windows\CurrentVersion\Run (Predeterminado) = c:\startup.exe Para propagarse vía correo electrónico, crea el siguiente archivo: c:\windows\system\mail.vbs NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). El script obtiene las primeras 666 entradas de la libreta de direcciones del usuario actual, para enviar un mensaje como el descripto antes, utilizando las funciones MAPI (Messaging Application Program Interface) a través del Microsoft Outlook y Outlook Express. Después del envío, el archivo .VBS es borrado. Después de enviar los mensajes, el gusano borra todas las copias creadas en la bandeja "Elementos enviados". El gusano también crea el siguiente archivo: c:\windows\system\jbells.rtx Los archivos .RTX son archivos de texto que contienen un formato de notas para melodías, utilizadas en teléfonos móviles. En este caso contiene la melodía clásica de Navidad, "Jingle Bells". Cuando se ejecuta STARTUP.EXE (en el siguiente reinicio de la computadora luego de la infección), se muestra un programa de preguntas tipo encuestas en una ventana con el siguiente texto: These are the questions for the quiz: 1. Which animal would Santa have if he actually existed? 2. In which country do I live? 3. Which season do I hate the most? 4. What does antivirus person Graham Cluley have between his toes? 5. What kinda virus is an HLLC virus? 6. Which chipset does a U.S. Robotics 22Mbps Wireless PC Card have? 7. Which keyboard layout is used in Belgium? 8. In which language did I write Parrot? 9. And Darkness? 10. In the 'Buffy The Vampire Slayer' series, there's a vampire who had a chip in his head for a while. What's his name? Las respuestas correctas son las siguientes (sensible a mayúsculas y minúsculas): 1. reindeer 2. Belgium 3. winter 4. cheese 5. companion 6. acx100 7. azerty 8. assembler 9. tcl 10. Spike Después de responder, el gusano muestra el siguiente mensaje: You answered all the questions. Go to http:/ /www.geocites.com/quiz_map for information on how to clean your system. También crea otra copia de si mismo con el nombre ORIGFILE.EXE y lo ejecuta como un proceso separado. Este archivo es borrado luego de la ejecución. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\xmas.scr c:\startup.exe c:\windows\system\mail.vbs c:\windows\system\jbells.rtx Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: (Predeterminado) 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1274 Año 8, viernes 2 de enero de 2004