| Asunto: | VSantivirus No. 1293 Año 8, miércoles 21 de enero de 2004 | | Fecha: | Miercoles, 21 de Enero, 2004 04:39:51 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1293 Año 8, miércoles 21 de enero de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Nuevas vulnerabilidades en Internet Explorer
2 - Correo: "El misticismo de las instituciones bancarias"
3 - W32/Spybot.S. Control total de la computadora vía IRC
4 - W32/Scold.B. Muestra la imagen de una foca
5 - Back/Womaniz.C. Ataques DoS a usuarios y servidores IRC
6 - Back/Womaniz.B. Ataques DoS a usuarios y servidores IRC
_____________________________________________________________
1 - Nuevas vulnerabilidades en Internet Explorer
_____________________________________________________________
http://www.vsantivirus.com/rzw-21-01-04.htm
Nuevas vulnerabilidades en Internet Explorer
Este artículo proviene de Rynho Zeros Web
http://www.rzw.com.ar
Estas fallas permiten la ejecución de código arbitrario,
CROSS SITE SCRIPTING (XSS), creación de <IFRAMES> y ejecución
de POP-UPS sin límites (el único limite es la memoria del
PC). Todo esto podría llevar a un colapso del Internet
Explorer y/o del Outlook Express y hasta del sistema en sí; o
sea una denegación de servicio (DoS, sigla en ingles de
"Denial Of Service").
* Fallo en el sistema de filtrado
(Internet Explorer y Outlook Express 6.00.2600 totalmente
parchados)
Microsoft ha insertado un sistema de filtración dentro del
Internet Explorer. Este sistema verifica que sólo los datos
seguros, válidos y apropiados (en sintaxis) sean pasados a
aplicaciones externas.
El sistema de filtrado salta algunos chequeos importantes
tales como el protocolo "MAILTO:". Sin esta filtración, el
Internet Explorer permite que datos inválidos sean enviados
al cliente de correo por defecto.
Ejemplo:
mailto:[una dirección extremadamente larga]
Esto provoca el mensaje de error "No se pudo llevar a cabo la
operación porque el cliente de correo predeterminado no está
correctamente instalado".
Este sistema también filtra enlaces del Outlook, tales como
los protocolos NNTP y SNTP. No obstante el agujero de
seguridad aparece cuando un atacante utiliza el protocolo
SNEWS, que no tiene ningún filtrado.
nntp:/ /aaaaaa.com/aaaaa
Filtrado activo! - Resultado: mensaje de error.
sntp:/ /aaaaaaaaaaaaaaa
Filtrado activo! - Resultado: mensaje de error.
snews:/ /aaaaaaaaaaaaa
Filtrado *INACTIVO!* - Resultado: activación de Outlook e
inyección de server en Outlook.
-------------------------------------------------------------
Nota de Xyborg:
Esto último se debe a que al abrirse el Outlook da un mensaje
de advertencia diciendo que no se está suscrito a ningún
grupo de noticias, y nos pregunta si queremos ver una lista,
la cuál, si aceptamos, intentará buscar en el servidor
inyectado.
También he descubierto que si en la URL se coloca una barra
al final, no solo se inyecta un nuevo servidor sino también
un grupo de noticias.
snews:/ /servidor/grupo_de_noticias
-------------------------------------------------------------
Este agujero de seguridad le permite a cualquier sitio o
página, abrir el Outlook Express e inyectar cualquier cosa
como si fuese un servidor de noticias válido. Esto puede ser
algo preocupante si alguien hace un bucle repetitivo que
inyecte una cantidad enorme de servidores falsos de SNEWS.
Ésta dirección seguirá escrita en la base de datos de los
servidores de noticias de Outlook Express y puede causar
cuelgues o la pérdida de recursos del sistema.
La manera más simple de explotar este fallo es por XSS (Cross
Site Scripting).
Esto también crea un desbordamiento de búfer dentro de
Outlook Express en el offset 0x00dc735, que cierra el
programa, hace más lento al sistema, y puede incluso colgarlo
por falta de memoria.
Este desbordamiento de búfer en Outlook Express es ALTAMENTE
PELIGROSO, y puede causar ejecuciones remotas de código
arbitrario.
Solución temporal para este problema:
La primera vez que Outlook Express es ejecutado por una URL
del tipo "snews:/ /aaaaaaaaaaaa", éste pregunta al usuario si
él quiere que Outlook sea el cliente de noticias
predeterminado. Eligiendo NO puede solucionar el problema por
ahora.
-------------------------------------------------------------
Nota de Xyborg:
Este mensaje es mostrado cuando se intenta acceder por
primera vez a un servidor de noticias, ya sea falso o
verdadero.
-------------------------------------------------------------
* El Internet Explorer abre automáticamente el dialogo de
descarga cuando el mismo archivo con una extensión "css"
existe en esa carpeta.
Por ejemplo:
http:/ /<host>/styles
Esto provocará la apertura del diálogo de descarga del
Internet Explorer, que intenta descargar el archivo "styles".
NOTA: Esto sucederá solamente si un archivo nombrado
"styles.css" está situado en esa carpeta.
Un exploit puede ejecutar FrontPage, y comenzar a enviar los
".css" a él. Para cada descarga de archivos abrirá dos
ventanas de diálogo, la primera es la ventana de descarga, y
la segunda, el mensaje de error "No se puede hallar ...", que
revela/enumera la ruta de todo el archivo temporal de
Internet.
Esto sobrecargará rápidamente la memoria del FrontPage y
abrirá luego los archivos ".css" en el bloc de notas. Y
después de que sobrecargue la memoria del bloc de notas,
intentará abrir los archivos en el dialogo "Abrir con...",
que es ejecutado por "rundll32.exe". A éste punto,
"rundll32.exe" alcanzará el desbordamiento de memoria y
mostrará un mensaje por cada intento de descarga, lo que
podría llevar al colapso del sistema.
[El artículo completo, en
http://www.rzw.com.ar/article1213.html, Múltiples
Vulnerabilidades en Internet Explorer]
Créditos: Rafel Ivgi, The-Insider.
http://theinsider.deep-ice.com
Traducción: Martín [Xyborg] Aberastegue
http://www.rzw.com.ar
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Correo: "El misticismo de las instituciones bancarias"
_____________________________________________________________
http://www.vsantivirus.com/correo21-01-04.htm
Correo: "El misticismo de las instituciones bancarias"
(Del correo de lectores)
De: Luis Conde <lconde@ucab.edu.ve>
Para: angela@videosoft.net.uy
Asunto: Estafa telefónica a usuarios de tarjetas de crédito
Buen día Angela, que tal la ¿primavera por allá?...
Muy buena la reseña y particularmente el último párrafo donde
refieres que "... Estas técnicas, o similares, podrían
aplicarse en cualquier país..."
Mas ésta (o esa) es una debilidad de los institutos emisores
de tarjetas de crédito, muy bien explotada por "estafadores
de oficio".
Haciendo un paralelismo entre nuestro mundo real y lo que
sucede dentro de las PC, la ingeniería social usada por el
estafador seria un "volcado de pila", donde el obtener datos
"sensibles" por parte del titular de la tarjeta consiste en
"robar" login y claves de acceso, y para remate, el hacer
coincidir el monto "estafado" con el aviso dado previamente,
seria un applet o quizás un gusano al cual no le prestamos
atención ya que "no hace nada, no es peligroso"...
Pero mas allá del ejercicio, la debilidad es del sistema
bancario o crediticio, ya que no existe una comunicación
eficiente ni eficaz sobre el uso de las tarjetas, que datos
confirmar y sobre todo, cuál es el canal legal de
comunicación.
Cuando solicitamos una tarjeta (o nos es enviada por nuestro
estupendo récord crediticio), jamás hay mayor contacto que el
estado de cuenta y alguna triste comunicación "en serie" y
firmada con un sello, de algún "fulano" que es el director
ejecutivo adjunto de la unidad evaluadora de créditos... ajá
y ???...
No se tú, mas cuando recibo una llamada del banco
(cualquiera), me siento como los japoneses en el 45, cuando
el emperador les dirigió unas palabras por la radio y les
informó que debían rendirse... Ellos (el pueblo japonés)
jamas habían oído a su emperador, ni siquiera les era
permitido observar su rostro, y ahora ese ser hijo de los
dioses, les pedía rendirse antes que morir luchando...
Confuso verdad ??? ...
Pues creo (no tengo tablas de regresión ni estudio
estadístico, hablo empíricamente y por la experiencia
propia), que sucede algo similar entre nosotros los
"tarjetahabientes", cuando una voz dice llamar desde <ponga
aquí cualquier banco> y que es el operador <cualquier nombre
o número>, y que a usted le han estafado 500 dólares (mucho
para quienes hacemos uso del crédito)... ¿Que harías tú?...
Una primera medida evasiva, seria solicitar el nombre
completo de quien llama, su identificación y el número de
teléfono, afirmando que le devolverá la llamada, sin dar
mayor explicación, cortar la comunicación ....
Segundo, llamar a la central del banco (no al número
referido) y solicitar comuniquen con el departamento de...
<el que refirió la señorita o el joven> y ya allí, pues
preguntas por el operador "tal"... Oh sorpresa, no existe, o
no hay tal estudio de fraude, o una vez que te refieren al
departamento de seguridad (unos 45 minutos después que
hiciste el primer contacto con el banco), logran chequear que
ya hay 5.000 cargos de 500 dólares...
Claro, lo anterior es todo lo que no hacemos debido al
complejo proceso que pone el banco para atender a sus
clientes, es más, cuando lo intentamos ellos quedan tan
sorprendidos como nosotros, pudiendo quedar tú como el
estafador o como alguien que no tiene nada mejor que hacer...
El misticismo y la extrema seguridad de las instituciones
bancarias (para el acceso físico y ahora un poco más al
electrónico) lleva a verlas como a un emperador, a quien no
se le "debe" mirar al rostro, quien es omnipresente y todo
poderoso y a quien debemos servir; nunca comete errores...
Si bien hay una carga compartida en la corresponsabilidad de
hacer uso del plástico, el débil jurídico somos los clientes
y resulta que cliente incluye desde el portador del plástico,
hasta el mismo personal de la institución bancaria, pasando
por el señor del restaurante, la gasolinera, el de la tienda
de pasajes y los diversos servicios que suscribimos a la
tarjeta; es un sistema abierto, el cual es afectado y afecta
su entorno. Podríamos incluir al estafador como usuario;
claro él seria un usuario "no autorizado o legítimo", que con
las tramoyas y estratagemas logra acceder y hacer uso del
sistema mediante datos validados, más no legítimos.
Existen en el mundo "real" problemas similares al "digital";
el acceso a recursos validados pero no legítimos; la solución
se orienta hacia informar y sobre todo formar al usuario
"legitimo", sobre normas, procedimientos, riesgos y
formalismos necesarios para validar su "legitimidad" ante
sistemas que cada día hacen mayor uso de identificadores del
tipo "login" y claves de acceso.
Gracias por leer estas observaciones y hasta cierto punto
"soluciones"... ¿tomas mate?
Feliz día !!!
Luis Conde
lconde@ucab.edu.ve
* Referencias:
Estafa telefónica a usuarios de tarjetas de crédito
http://www.vsantivirus.com/timo-telefonico-tarjetas.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Spybot.S. Control total de la computadora vía IRC
_____________________________________________________________
http://www.vsantivirus.com/spybot-s.htm
Nombre: W32/Spybot.S
Tipo: Gusano de Internet y caballo de Troya
Alias: WORM_SPYBOT.S, Worm.Win32.Spyboter
Plataforma: Windows 32-bit
Fecha: 19/ene/04
Tamaño: 30,720 bytes
Reportado por: Trend Micro
Se trata de una variante de la familia de gusanos
W32/Spybot.fam, comprimida con la utilidad UPX. Utiliza la
vulnerabilidad DCOM/RPC para tomar el control. También posee
capacidad de troyano de acceso remoto vía IRC.
Esta variante fue distribuida en forma de spam, por medio de
un mensaje como el siguiente:
De: [remitente falso]
Asunto: Windows new update Protect RPC Worms
Texto del mensaje:
This exclusive product includes protection
from new vulnerabilities from new viruses
RPC.Worm and Nbt.Worm.
Datos adjuntos: setup.exe
Cuando se ejecuta, crea los siguientes archivos en la carpeta
System:
c:\windows\system32\nvcpl.exe
c:\windows\system32\rswpscfg.dll
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
También agrega las siguientes entradas al registro de
Windows, para su autoejecución:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
NvCpl32Deamon = nvcpl.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
NvCpl32Deamon = nvcpl.exe
Permanece residente, enganchándose al proceso EXPLORER.EXE.
Después de auto instalarse en el sistema, el gusano se borra
a si mismo. Pero al volver a ejecutarse su copia en la
carpeta System (al reiniciarse el sistema), continúa el
proceso iniciado.
Toma ventaja de la vulnerabilidad en los componentes DCOM/RPC
de Windows XP, 2000 y NT, en aquellas computadoras que no
poseen el parche correspondiente, para obtener acceso total
al sistema.
Posee un componente troyano con acceso backdoor vía IRC, que
permite a un intruso el control remoto de la computadora.
Para ello intenta conectarse al siguiente servidor de IRC, a
través del puerto 31031:
keksovat.pp.ru
El troyano puede capturar todo lo tecleado por el usuario
infectado, descargar archivos de Internet, etc.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para borrar manualmente el troyano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system32\nvcpl.exe
c:\windows\system32\rswpscfg.dll
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
NvCpl32Deamon
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
5. Pinche en la carpeta "RunOnce" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
NvCpl32Deamon
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Sobre RPC y DCOM
RPC (Remote Procedure Call o Llamada de Procedimiento
Remoto), es un protocolo utilizado por Windows para permitir
que un programa que se ejecuta en un equipo, pueda acceder a
los servicios de otro equipo conectado en red.
La falla ocurre en el intercambio de mensajes entre procesos
que se realiza sobre protocolos TCP/IP al utilizarse RPC, por
un desbordamiento de búfer, y afectan la interface DCOM con
RPC, que controla las solicitudes de activación de objetos de
DCOM que las máquinas clientes envían al servidor.
DCOM (Distributed Component Object Model o Modelo de Objeto
Componente Distribuido) es un protocolo que nos muestra un
conjunto de interfaces que permiten a los clientes y
servidores comunicarse entre sí. Los objetos de programa de
un cliente pueden solicitar los servicios de objetos de
programas servidores, en otras computadoras dentro de una
red. Solo es necesario que todos se estén ejecutando en
Windows 9x (95, 98 y Me) o NT (NT, 2000 y XP).
Usando una interface DCOM, un programa puede iniciar una
Llamada de Procedimiento Remoto (Remote Procedure Call o RPC)
a un objeto de otro programa especializado, que proporciona
el procesamiento necesario y devuelve el resultado.
DCOM emplea a su vez protocolos TCP/IP y HTTP, y está
incluido en las versiones posteriores a Windows 98 y NT. DCOM
escucha en el puerto 135 de TCP/UDP y en los puertos 139, 445
y 593 de TCP.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Scold.B. Muestra la imagen de una foca
_____________________________________________________________
http://www.vsantivirus.com/scold-b.htm
Nombre: W32/Scold.B
Tipo: Gusano de Internet
Alias: WORM_SCOLD.B, I-Worm.Scold.B, W32/Scold.B-mm
Fecha: 19/ene/04
Plataforma: Windows 32-bit
Tamaño: 28,160 bytes (27 Kb)
Ligera variante de W32/Scold.A
[http://www.vsantivirus.com/scold-a.htm].
Gusano programado en Microsoft Visual Basic 6.0 y comprimido
con UPX, que se propaga a través del correo electrónico,
utilizando el Microsoft Outlook y Outlook Express.
El mensaje puede tener estas características:
Asunto: (uno de los siguientes)
When It’s Cold Outside She Gives Me Warm Inside
Fw: When It’s Cold Outside She Gives Me Warm Inside
Re: When It’s Cold Outside She Gives Me Warm Inside
Texto: (uno de los siguientes):
Ejemplo 1:
Don´t miss this cool picture.
============= Free Online Virus Scan =============
100% VIRUS FREE
No viruses or suspicious files were found in the attached
file.
Ejemplo 2:
You will love this cute picture.
============= Free Online Virus Scan =============
100% VIRUS FREE
No viruses or suspicious files were found in the attached
file.
Ejemplo 3:
Enjoy this great picture.
============= Free Online Virus Scan =============
100% VIRUS FREE
No viruses or suspicious files were found in the attached
file.
El archivo adjunto posee nombre variable, y consiste en
caracteres al azar más uno o dos dígitos y la extensión .SCR,
por ejemplo:
hwop35.scr
fdg49.scr
Cuando se ejecuta, el gusano muestra la imagen de una foca en
una ventana con el título "Warm".
[ver imagen en http://www.vsantivirus.com/scold-b.htm]
El gusano crea los siguientes archivos:
c:\windows\warm.scr
c:\windows\[nombre al azar].scr
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
Agrega la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ExeName32 = c:\windows\warm.scr
El gusano utiliza las funciones MAPI (Messaging Application
Programming Interface) del Outlook y Outlook Express, para
propagarse a todos los contactos de sus libretas de
direcciones. MAPI es una interface de programación para
aplicaciones que gestionen correo electrónico, servicios de
mensajería, trabajos en grupo, etc.
También obtiene direcciones de archivos con extensiones .CTT
de la carpeta "Mis Documentos", y de archivos .HTM y .HTML de
la carpeta donde el usuario haya grabado páginas Web
("Guardar" o "Guardar como..." del menú "Archivo" del
Internet Explorer). Esta carpeta está indicada en la
siguiente clave del registro:
HKCU\Software\Microsoft\Internet Explorer\Main
Save Directory = [carpeta]
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\warm.scr
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
ExeName32
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Back/Womaniz.C. Ataques DoS a usuarios y servidores IRC
_____________________________________________________________
http://www.vsantivirus.com/back-womaniz-c.htm
Nombre: Back/Womaniz.C
Tipo: Caballo de Troya
Alias: Win32/DoS.Mixter.A, BKDR_WOMANIZ.C, BAT_WOMANIZ.C,
IRC_WOMANIZ.C, TROJ_WOMANIZ.C
Plataforma: Windows 32-bit
Tamaño: 738,557 bytes (el paquete completo)
Caballo de Troya que descarga y ejecuta una versión
troyanizada del cliente de IRC, mIRC, y permanece en memoria
para ejecutar ataques de denegación de servicio (DoS), a
servidores y usuarios de IRC.
Cuando se ejecuta, puede recibir instrucciones de un usuario
remoto a través de un acceso por puerta trasera (backdoor),
vía IRC.
El troyano carga otros componentes en memoria para ejecutar
diversas acciones, e intenta propagarse a otros equipos en
red. Algunos componentes son herramientas legítimas que no
contienen código malicioso.
El troyano puede llegar en un archivo instalador. Cuando se
ejecuta, se crea la carpeta WBEM y los siguientes archivos:
c:\winnt\system32\wbem\infsrv.exe
c:\winnt\system32\wbem\jnco32.exe
c:\winnt\system32\wbem\mmsql32.bat
c:\winnt\system32\wbem\mnn32.exe
c:\winnt\system32\wbem\msnger32.exe
c:\winnt\system32\wbem\msnq32.exe
c:\winnt\system32\wbem\mtmn32.dll
c:\winnt\system32\wbem\pmmc32.exe
c:\winnt\system32\wbem\soleorp.ocx
c:\winnt\system32\wbem\tvchost32.exe
c:\winnt\system32\wbem\vtap.dll
NOTA: "c:\winnt\system32" es el camino que figura
literalmente en el código del troyano.
En algunas versiones modificadas, en lugar de utilizar la
carpeta WBEM, el troyano copia sus componentes en alguna de
las siguientes carpetas:
c:\windows\system32\winupdate
c:\windows\system32\mui
La primera vez que se ejecuta, también crea los siguientes
archivos:
c:\windows\queudo32.exe
c:\windows\dwinlt32.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
Los tamaños de los archivos creados son los siguientes:
INFSRV.EXE (20,480 bytes)
JNCO32.EXE (17,920 bytes)
MMSQL32.BAT (3,678 bytes)
MNN32.EXE(25,600 bytes)
MSNGER32.EXE(570,880 bytes)
MSNQ32.EXE (24,064 bytes)
MTMN32.DLL(52,309 bytes)
PMMC32.EXE (52,224 bytes)
SOLEORP.OCX(1,975 bytes)
TVCHOST32.EXE (14,336 bytes)
VTAP.DLL (2,928 bytes)
El componente principal es MSNGER32.EXE, un cliente mIRC
modificado, que se conecta a un servidor de IRC para recibir
instrucciones.
Cada pocos segundos, carga el componente INFSRV.EXE como un
servicio, y luego lo finaliza. Este componente es otro
troyano que deshabilita diferentes recursos compartidos cada
vez que se ejecuta, por ejemplo:
ipc$
c$
admin$
print$
Mis documentos
Documentos compartidos
A$ [...] Z$
El troyano ejecuta a MMSQL32.BAT para escanear direcciones IP
al azar, e intentar conectarse a máquinas remotas a través
del puerto 445 SMB (Server Message Block), usado para
compartir archivos en Windows Windows 2000 y XP, o por
puertos UDP/137, UDP/138 o UDP/139, usado por NBT (NetBIOS
over TCP/IP) en Windows NT.
Utiliza una serie de contraseñas y nombres de usuarios
predefinidos en su código.
Si logra acceder, se copia en los recursos compartidos de los
equipos remotos, y se ejecuta en ellos.
El troyano crea algunas de las siguientes entradas en el
registro para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Configuration Loader = queudo32.exe
msmanagerw32 = c:\windows\system32\winupdate\msmngr32.exe
mssilverw32 = c:\winnt\system32\wbem\msnger32.exe
Windap 2000 osLoader = dwinlt32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Configuration Loader = queudo32.exe
Windap 2000 osLoader = dwinlt32.exe
También crea estas claves en el registro, para su uso
interno:
HKCU\Software\WUPD
HKCU\Software\WUPD\DateUsed
HKCU\Software\WUPD\License
HKCU\Software\WUPD\UserName
HKCU\Software\WUPD\UserName
HKLM\Software\Microsoft\winupdate
HKLM\Software\Microsoft\Windows
\CurrentVersion\Uninstall\WUPD
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el troyano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\queudo32.exe
c:\windows\dwinlt32.exe
También borre las carpetas WBEM, WINUPDATE o MUI (no todas
ellas estarán presentes):
c:\winnt\system32\wbem
c:\windows\system32\winupdate
c:\windows\system32\mui
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las entradas que
aparezcan de esta lista:
Configuration Loader
msmanagerw32
mssilverw32
Windap 2000 osLoader
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre las
entradas que aparezcan de esta lista:
Configuration Loader
Windap 2000 osLoader
6. En el panel izquierdo del editor, pinche en el signo "+"
para abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
7. Busque y borre la siguiente carpeta:
WUPD
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
9. Busque y borre la siguiente carpeta:
winupdate
10. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Uninstall
11. Busque y borre la siguiente carpeta:
WUPD
12. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* El IRC y los virus
Se recomienda precaución al recibir archivos a través de los
canales de IRC. Sólo acepte archivos que usted ha pedido,
pero aún así, jamás los abra o ejecute sin revisarlos antes
con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar
respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su
configuración, funciones como "send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la
configuración de "DCC" para transferencia de archivos,
selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de
éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
6 - Back/Womaniz.B. Ataques DoS a usuarios y servidores IRC
_____________________________________________________________
http://www.vsantivirus.com/back-womaniz-b.htm
Nombre: Back/Womaniz.B
Tipo: Caballo de Troya
Alias: Win32/DoS.Mixter.A, BKDR_WOMANIZ.B, IRC_WOMANIZ.B,
BAT_WOMANIZ.B, DoS.Mixter.A, DoS.Win32.Mixter, FDoS-Mixtar,
Hacktool.DoS, Flooder/Mixtar.B
Plataforma: Windows 32-bit
Tamaño: 857,103 bytes (el paquete completo)
Caballo de Troya que descarga y ejecuta una versión
troyanizada del cliente de IRC, mIRC, y permanece en memoria
para ejecutar ataques de denegación de servicio (DoS), a
servidores y usuarios de IRC.
Cuando se ejecuta, abre el puerto TCP/113 para recibir
instrucciones de un usuario remoto.
Carga otros componentes en memoria para ejecutar diversas
acciones, e intenta propagarse a otros equipos en red.
Algunos componentes son herramientas legítimas que no
contienen código malicioso.
El troyano puede llegar en un archivo instalador creado con
una utilidad que convierte varios archivos en un solo
programa ejecutable.
Cuando este instalador se ejecuta, se crean los siguientes
archivos:
c:\windows\system32\infsrv.exe
c:\windows\system32\jnco32.exe
c:\windows\system32\mnmsql32.bat
c:\windows\system32\msnn32.exe
c:\windows\system32\msnngr32.exe
c:\windows\system32\msnql32.exe
c:\windows\system32\mtnnm32.dll
c:\windows\system32\pmc32.exe
c:\windows\system32\reg3.ocx
c:\windows\system32\tvchost32.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Los tamaños de los archivos creados son los siguientes:
INFSRV.EXE (20,480 bytes)
JNCO32.EXE (17,790 bytes)
MNMSQL32.BAT (3,511 bytes)
MSNN32.EXE (25,600 bytes)
MSNNGR32.EXE (532,480 bytes)
MSNQL32.EXE (20,480 bytes)
MTNNM32.DLL (53,553 bytes)
PMC32.EXE (52,224 bytes)
REG3.OCX (2,903 bytes)
TVCHOST32.EXE (14,336 bytes)
El componente principal es MSNNGR32.EXE, un cliente mIRC
modificado, que abre el puerto TCP/113 para recibir
instrucciones.
Cada pocos segundos, carga el componente INFSRV.EXE como un
servicio, y luego lo finaliza. Este componente es otro
troyano que deshabilita diferentes recursos compartidos cada
vez que se ejecuta, por ejemplo:
ipc$
c$
admin$
print$
Mis documentos
Documentos compartidos
A$ [...] Z$
El troyano ejecuta a MNMSQL32.BAT para intentar acceder a
otros equipos remotos dentro de la misma red. Utiliza una
serie de contraseñas y nombres de usuarios predefinidos para
ello.
Si logra acceder, se copia en los recursos compartidos de
esos equipos, y se ejecuta en ellos.
El troyano crea la siguiente entrada en el registro para
autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
msmanagerw32 = c:\windows\system32\msnngr32.exe
También modifica las siguientes entradas para ejecutarse cada
vez que se abre un archivo de chat (.CHA o .CHAT), y para ser
cliente de IRC ejecutado por defecto:
HKEY_LOCAL_MACHINE\SOFTWARE
\Classes\ChatFile\Shell\open\command
(Predeterminado) =
c:\windows\system32\msnngr32.exe -noconnect
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\irc\Shell\open\command
(Predeterminado) =
c:\windows\system32\msnngr32.exe -noconnect
HKEY_CLASSES_ROOT\ChatFile\Shell\open\command
(Predeterminado) =
c:\windows\system32\msnngr32.exe -noconnect
HKEY_CLASSES_ROOT\.cha
(Predeterminado) = "ChatFile"
HKEY_CLASSES_ROOT\.chat
(Predeterminado) = "ChatFile"
HKEY_CLASSES_ROOT\ChatFile
(Prdeterminado) = "Chat File"
HKEY_CLASSES_ROOT\ChatFile\DefaultIcon
(Predeterminado) =
c:\windows\system32\msnngr32.exe
HKEY_CLASSES_ROOT\ChatFile\Shell\open\command
(Predeterminado) =
c:\windows\system32\msnngr32.exe -noconnect
HKEY_CLASSES_ROOT\ChatFile\Shell\open\ddeexec
(Predeterminado) = "%1"
HKEY_CLASSES_ROOT\ChatFile
\Shell\open\ddeexec\Application
(Predeterminado) = "CAT3"
HKEY_CLASSES_ROOT\ChatFile
\Shell\open\ddeexec\ifexec
(Predeterminado) = "%1"
HKEY_CLASSES_ROOT\ChatFile
\Shell\open\ddeexec\Topic
(Predeterminado) = "Connect"
HKEY_CLASSES_ROOT\irc
(Predeterminado) = "URL:IRC Protocol"
HKEY_CLASSES_ROOT\irc
EditFlags = hex:02,00,00,00,
HKEY_CLASSES_ROOT\irc
URL Protocol = ""
HKEY_CLASSES_ROOT\irc\DefaultIcon
(Predeterminado) =
c:\windows\system32\msnngr32.exe
HKEY_CLASSES_ROOT\irc\Shell\open\command
(Predeterminado) =
c:\windows\system32\msnngr32.exe
HKEY_CLASSES_ROOT\irc\Shell\open\ddeexec
(Predeterminado) = "%1"
HKEY_CLASSES_ROOT\irc\Shell
\open\ddeexec\Application
(Predeterminado) = "CAT3"
HKEY_CLASSES_ROOT\irc\Shell
\open\ddeexec\ifexec
(Predeterminado) = "%1"
HKEY_CLASSES_ROOT\irc\Shell\open\ddeexec\Topic
(Predeterminado) = "Connect"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.cha
(Predeterminado) = "ChatFile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.chat
(Predeterminado) = "ChatFile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChatFile
(Predeterminado) = "Chat File"
HKEY_LOCAL_MACHINE\SOFTWARE
\Classes\ChatFile\DefaultIcon
(Predeterminado) =
c:\windows\system32\msnngr32.exe
HKEY_LOCAL_MACHINE\SOFTWARE
\Classes\ChatFile\Shell\open\command
(Predeterminado) =
c:\windows\system32\msnngr32.exe -noconnect
HKEY_LOCAL_MACHINE\SOFTWARE
\Classes\ChatFile\Shell\open\ddeexec
(Predeterminado) = "%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\ChatFile\Shell\open\ddeexec\Application
(Predeterminado) = "CAT3"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\ChatFile\Shell\open\ddeexec\ifexec
(Predeterminado) = "%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\ChatFile\Shell\open\ddeexec\Topic
(Predeterminado) = "Connect"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\irc
(Predeterminado) = "URL:IRC Protocol"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\irc
EditFlags = hex:02,00,00,00,
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\irc
URL Protocol = ""
HKEY_LOCAL_MACHINE\SOFTWARE
\Classes\irc\DefaultIcon
(Predeterminado) =
"C:\_virus\bkdr_flood.bq\msnngr32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\irc\Shell\open\command
(Predeterminado) =
c:\windows\system32\msnngr32.exe -noconnect
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\irc\Shell\open\ddeexec
(Predeterminado) = "%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\irc\Shell\open\ddeexec\Application
(Predeterminado) = "CAT3"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\irc\Shell\open\ddeexec\ifexec
(Predeterminado) = "%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\irc\Shell\open\ddeexec\Topic
(Predeterminado) = "Connect"
HKEY_LOCAL_MACHINE\SOFTWARE\spreadco2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Uninstall\spreader2
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el troyano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system32\infsrv.exe
c:\windows\system32\jnco32.exe
c:\windows\system32\mnmsql32.bat
c:\windows\system32\msnn32.exe
c:\windows\system32\msnngr32.exe
c:\windows\system32\msnql32.exe
c:\windows\system32\mtnnm32.dll
c:\windows\system32\pmc32.exe
c:\windows\system32\reg3.ocx
c:\windows\system32\tvchost32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
msmanagerw32
4. En el panel izquierdo del editor, pinche en el signo "+"
para abrir la siguiente rama:
HKEY_CLASSES_ROOT\
5. Busque y borre las siguientes carpetas:
.CHA
.CHAT
ChatFile
IRC
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
7. Busque y borre la siguiente carpeta:
spreadco2
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* El IRC y los virus
Se recomienda precaución al recibir archivos a través de los
canales de IRC. Sólo acepte archivos que usted ha pedido,
pero aún así, jamás los abra o ejecute sin revisarlos antes
con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar
respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su
configuración, funciones como "send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la
configuración de "DCC" para transferencia de archivos,
selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de
éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1293 Año 8, miércoles 21 de enero de 2004
|
VSantivirus No. 12
Responder a este mensaje
