Mostrando mensaje 347     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1298 Año 8, lunes 26 de enero de 2004 Fecha: Domingo, 25 de Enero, 2004  23:35:21 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1298 Año 8, lunes 26 de enero de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Troj/HTML.UrlSpoof.E. Falsa actualización de Microsoft 2 - W32/Dumaru.Z. Variante creada por Troj/HTML.UrlSpoof.E 3 - W32/Apsiv.A. Borra archivo de activación de Win XP 4 - VBS/Zsyang.B. Asunto: "lover", adjunto: "lover.vbe" _____________________________________________________________ 1 - Troj/HTML.UrlSpoof.E. Falsa actualización de Microsoft _____________________________________________________________ http://www.vsantivirus.com/html-urlspoof-e.htm Nombre: Troj/HTML.UrlSpoof.E Tipo: Caballo de Troya HTML Alias: TrojanSpy.HTML.UrlSpoof, TrojanSpy.HTML.UrlSpoof.e, Win32/Downloader.URLSpoof.E Plataforma: Windows 32-bit Fecha: 25/ene/04 Se ha estado enviando como spam, en la tarde del 25 de enero de 2004, un mensaje con formato HTML, que dice provenir de Microsoft, y con el siguiente texto: MicroSoft News Warning: a new virus, W32.Swen.A@mm, can infect your computer. Microsoft user, this is the latest version of security update, the "January 2004. Cumulative Patch" update which eliminates all known security vulnerabilities afecting MS Internet Explorer, MS Outlook and MS Outlook Express. Install now to maintain the security of your computer from these vulnerabilities. This update includes the functionality of all previously released patches. System requirements Windows 95/98/Me/2000/NT/XP This Update applies to MS Internet Explorer, version 5.5 an later MS Outlook, version 8.0 and later MS Outlook Express, version 4.01and later Recommendation Customers should install the patch at the earliest opportunity How to install Click on the "Go to Download page" button. How to use You don't need to do anything after installing this item [ Go to Download page ] [ver imagen del mensaje en http://www.vsantivirus.com/troj-html-urlspoof-e.htm] El enlace en el botón [Go to Download page] lleva a una página falsa en un proveedor de acceso a Internet: http:/ /[***].com/update/download.php Cuando el usuario abre dicho enlace, el archivo descargado (un script de Visual Basic), puede ejecutarse en su máquina. DOWNLOAD.PHP contiene una nueva variante del troyano VBS/Inor. Cuando se ejecuta, crea y ejecuta a su vez, al siguiente archivo: c:\2.exe Este archivo es una variante del gusano W32/Dumaru (ver http://www.vsantivirus.com/dumaru-z.htm). Cómo curiosidad, la dirección mostrada en el mensaje, y que contiene el virus mencionado, apunta a un proveedor de acceso a Internet en Ashburn, Virginia, una ciudad de 48,230 habitantes al oeste de Washington DC en los Estados Unidos. Supuestamente es la cuenta de acceso de algún usuario. Si se navega por el mismo URL, se puede ver una página idéntica a una verdadera de Microsoft, que contiene información sobre el gusano Swen.A. Hasta el momento de crear esta descripción, la dirección se encontraba activa. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Para reparar la infección de W32/Dumaru.Z W32/Dumaru.Z. Variante creada por Troj/HTML.UrlSpoof.E http://www.vsantivirus.com/dumaru-z.htm * Borrar Archivos temporales de Internet Primero, debe borrar los archivos temporales de Internet. 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet pinche en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Pinche en Aceptar, etc. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Dumaru.Z. Variante creada por Troj/HTML.UrlSpoof.E _____________________________________________________________ http://www.vsantivirus.com/dumaru-z.htm Nombre: W32/Dumaru.Z Tipo: Gusano de Internet Alias: Dumaru.Z, Win32/Dumaru.Z, WORM_DUMARU.Z, W32/Dumaru.z@MM, W32/Dumaru.Z.worm, I-Worm.Dumaru, W32/Dumaru-Y, W32/Dumaru.Z@mm, Win32/ZHymn Fecha: 25/ene/03 Plataforma: Windows 32-bit Tamaño: 14,550 bytes (puede variar) Se trata de una variante del W32/Dumaru.Y, creada por el Troj/HTML.UrlSpoof.E, como se explica en su descripción (http://www.vsantivirus.com/html-urlspoof-e.htm). Escrito en Microsoft C++ y comprimido con la herramienta FSG, este gusano se envía en forma masiva a todas las direcciones que encuentra en determinados archivos de la máquina infectada, en un mensaje como el siguiente: De: "Elene" <FUCKENSUICIDE@HOTMAIL.COM> Asunto: Important information for you. Read it immediately ! Texto del mensaje: Hi! Here is my photo, that you asked for yesterday. Datos adjuntos: myphoto.zip MYPHOTO.ZIP, contiene el archivo del gusano, con el siguiente nombre: myphoto.jpg.[56 ESPACIOS EN BLANCO].exe El gusano intenta robar información del equipo infectado, por medio de la captura de lo tecleado por la víctima durante predeterminadas sesiones del navegador de Internet, por ejemplo, al acceder a cuentas bancarias. Instala un servidor FTP en el puerto TCP/10000, que permite el acceso a todos los archivos del sistema infectado. Abre un proxy en el puerto TCP/2283, que puede ser usado por un atacante remoto para conectarse a otras máquinas a través de la infectada. El gusano captura el contenido del portapapeles, las contraseñas protegidas (Protected Storage Data), y los datos identificatorios del usuario (login, contraseña, etc.). También examina las ventanas abiertas en el sistema, en busca de cualquier actividad relacionada con http://www.e-gold.com, un sitio de transacciones comerciales en lingotes de oro. Si se detecta alguna aplicación relacionada, el gusano también almacena esta información. El archivo con todo lo capturado, es enviado cada cierto tiempo (cuando el archivo llega a determinado tamaño), por correo electrónico. También puede ser enviada a un servidor FTP remoto. A diferencia de algunas versiones anteriores, no intenta infectar ningún archivo. Cuando se ejecuta, intenta borrar el siguiente archivo, creado por Troj/HTML.UrlSpoof.E: c:\2.exe El archivo es la copia del propio Dumaru.Z, creada por un script (variante del VBS/Inor), descargada y ejecutada por el Troj/HTML.UrlSpoof.E (ver http://www.vsantivirus.com/html- urlspoof-e.htm). El gusano se copia a si mismo en las siguientes ubicaciones: c:\windows\rundllx.sys c:\windows\system\l32x.exe c:\windows\system\vxd32v.exe NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "c:\winnt", "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). También se copia como DLLXW.EXE en la carpeta de inicio del sistema: c:\windows\menú inicio\programas\inicio\dllxw.exe NOTA: "C:\Windows\Menú Inicio\Programas\Inicio" en Windows 95, 98 y Me. En Windows XP y 2000 es "C:\Documents and Settings\[usuario]\Menú Inicio\Programas\Inicio" y en Windows NT "C:\WinNT\Profiles\[usuario]\Menú Inicio\Programas\Inicio". [Usuario] también puede ser [All Users] (incluido "C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio"). El gusano modifica las siguientes claves del registro para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run load32 = c:\windows\system\l32x.exe En Windows NT, 2000 o XP, crea la siguiente entrada en el registro: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = explorer.exe c:\windows\system\vxd32v.exe Si no existe, agrega la siguiente clave: HKEY_LOCAL_MACHINE\Software\SARS También modifica los archivos WIN.INI y SYSTEM.INI en la carpeta C:\Windows: En WIN.INI: [windows] run = c:\windows\rundllx.sys En SYSTEM.INI: [boot] shell = explorer.exe c:\windows\system\vxd32v.exe Las direcciones de correo a las que envía el mensaje, son extraídas de todos los archivos del disco duro con las siguientes extensiones: .abd .dbx .htm .html .tbb .wab Y almacenadas en el siguiente archivo: c:\windows\winload.log Crea el siguiente archivo al generar los mensajes que envía: c:\windows\temp\zip.tmp El gusano examina el siguiente valor: HKEY_LOCAL_MACHINE\SOFTWARE\SARS DL = Si "DL" es "0", intentará descargar de una dirección de Internet escrita en su código, un archivo que luego copiará en la siguiente ubicación: c:\windows\system\nvidia32.exe Después, ejecutará dicho archivo. NVIDIA32.EXE es un troyano de la familia SPYBOT. Luego de ello, cambia el valor de "DL" a "1". * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\2.exe c:\windows\rundllx.sys c:\windows\vxdload.log c:\windows\winload.log c:\windows\system\l32x.exe c:\windows\system\nvidia32.exe c:\windows\system\vxd32v.exe c:\windows\temp\zip.tmp Borre el archivo DLLXW.EXE de las carpetas de inicio correspondientes a su sistema operativo: * Windows XP, 2000 (español e inglés) C:\Documents and Settings \All Users\Menú Inicio\Programas\Inicio \All Users\Start Menu\Programs\Startup \[nombre usuario]\Menú Inicio\Programas\Inicio \[nombre usuario]\Start Menu\Programs\Startup * Windows 95, 98, Me (español e inglés) C:\WINDOWS \All Users\Menú Inicio\Programas\Inicio \All Users\Start Menu\Programs\Startup \Menú Inicio\Programas\Inicio \Start Menu\Programs\Startup \Profiles\[nombre usuario]\Menú Inicio\Programas\Inicio \Profiles\[nombre usuario]\Start Menu\Programs\Startup Ejemplo: c:\windows\menú inicio\programas\inicio\dllxw.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: load32 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \SARS 5. Pinche en la carpeta "SARS" y bórrela. 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 7. Pinche en la carpeta "Winlogon" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada: Shell = explorer.exe c:\windows\system\vxd32v.exe Por lo siguiente: Shell = explorer.exe 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Editar el archivo WIN.INI y SYSTEM.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [windows] run = c:\windows\rundllx.sys Debe quedar como: [windows] run = 3. Grabe los cambios y salga del bloc de notas. 4. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter. 5. Busque lo siguiente: [boot] shell = explorer.exe c:\windows\system\vxd32v.exe y déjelo así: [boot] shell = explorer.exe 6. Grabe los cambios y salga del bloc de notas 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Apsiv.A. Borra archivo de activación de Win XP _____________________________________________________________ http://www.vsantivirus.com/apsiv-a.htm Nombre: W32/Apsiv.A Tipo: Gusano de Internet (P2P) Alias: Apsiv, W32/Apsiv.A.worm, W32/Apsiv.worm!p2p, W32/Apsiv-p2p, Win32.HLLW.Apsiv, Win32/HLLW.Apsiv, Worm.P2P.Apsiv, Worm/Apsiv, Worm/Apsiv.A, WORM_APSIV.A Fecha: 22/dic/03 Actualización: 26/ene/04 Plataforma: Windows 32-bit Tamaño: 417,792 bytes Gusano que se propaga a través de la red de intercambio de archivos entre usuarios del KaZaa, e intenta borrar el archivo de activación de Windows XP. Cuando se ejecuta, se copia en la siguiente ubicación: c:\windows\system32\__sys.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). También se copia a si mismo en la carpeta compartida del KaZaa con los siguientes nombres: ACDSee 6.0 PowerPack Reg-Code Generator.exe Adobe Photoshop CS (8.0) Reg-Code Generator.exe aViS 0_0_1 alpha1.exe Battlefield 1942 CD-KEY Generator.exe Call of Duty CD-KEY Generator (WORKING!!).exe CloneCD 4.3.1.7 Reg-Code Generator (WORKING!!).exe Fifa 2004 CD-KEY Generator (WORKING!!).exe Fifa Football 2004 CD-KEY Generator.exe Getright 5.02 Reg-Code Generator (NEW WORKING!!!).exe Half Life 2 HACKED SOURCE CODE SELF-EXTRACTOR.exe Halo PC CD-KEY Generator.exe Lord Of The Rings The Return Of The King CD-KEY Generator.exe Max Payne 2 CD-KEY Generator.exe Microsoft Office 2003 Professional ACTIVATION-KEY Generator.exe Need For Speed Underground CD-KEY Generator (WORKING!!).exe Nero 6 Ultra Edition Reg-Code Generator.exe Nero 6.xx Reg-Code Generator.exe Norton AntiVirus 2004 Pro Activation Key & Serial.exe Norton Antivirus 2004 PRO Reg-Code Generator (WORKING!!).exe Norton Anti-Virus 2004 Reg-Code Generator (WORKING!!).exe Norton Internet Security Reg-Code Generator (WORKING!!).exe Norton SystemWorks 2004 Pro Reg-Code Generator.exe Registry Mechanic 2.1 Reg-Code Generator.exe Windows XP Pro ACTIVATION-KEY GENERATOR !!!.exe Para determinar la ubicación de esta carpeta, el gusano examina la siguiente clave del registro: HKEY_CURRENT_USER\Software\Kazaa\ El gusano intenta borrar el siguiente archivo cuando el día que indica la fecha del sistema es 6: c:\windows\system32\wpa.dbl Este archivo guarda la información de activación de Windows XP. Posee otras rutinas que no funcionan por errores en su código. No realiza ninguna otra modificación al sistema. * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre el siguiente archivo: c:\windows\system32\__sys.exe También borre los archivos de la carpeta del KaZaa que se indican en la descripción. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - VBS/Zsyang.B. Asunto: "lover", adjunto: "lover.vbe" _____________________________________________________________ http://www.vsantivirus.com/zsyang-b.htm Nombre: VBS/Zsyang.B Tipo: Gusano de Visual Basic Script Alias: VBS_ZSYANG.A, VBS.Zsyang.B@mm, I-Worm.Zsyang Fecha: 25/ene/04 Tamaño: 1,254 bytes Plataforma: Windows 32-bit Se envía solo al primer contacto en la libreta de direcciones, y tiene errores que hacen que no siempre pueda propagarse. Utiliza las facilidades del Outlook y Outlook Express para ello. También intenta borrar el editor del registro de Windows (REGEDIT.EXE). El mensaje enviado tiene estas características: Asunto: lover Datos adjuntos: lover.vbe Texto del mensaje: i love you Se ejecuta cuando el usuario abre el adjunto. En ese momento se copia a si mismo en la siguiente ubicación: c:\windows\lover.vbe (El camino C:\WINDOWS está escrito en su código). Luego agrega la entrada "kv3000" al registro, para autoejecutarse en cada reinicio de la computadora: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run kv3000 = c:\windows\lover.vbe Examina si existe la siguiente entrada en el registro: HKEY_CURRENT_USER\software\a a = 1 Si existe, y su valor es "1", obtiene de las distintas libretas de direcciones que pudieran existir en Windows, el primer contacto, y le envía a éste un mensaje infectado similar al ya descripto. Si no existe o el valor de la clave anterior no es "1", intenta enviarse en forma masiva a todos los contactos de las libretas de direcciones, y luego crea dicha clave, con valor "1" (de este modo, intenta enviarse una sola vez en forma masiva). Un error en su código, hace que los envíos masivos sean sin adjunto. También intenta borrar el archivo REGEDIT.EXE en la carpeta C:\WINODOWS (note que existe una letra "O" de más en el nombre de esta carpeta). Por ese error, falla en su intento. * Reparación manual * Antivirus 1. Actualice sus antivirus 2. Ejecútelos en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\lover.vbe Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'. Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada: kv3000 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1298 Año 8, lunes 26 de enero de 2004