| Asunto: | VSantivirus No. 1313 Año 8, martes 10 de febrero de 2004 | | Fecha: | Martes, 10 de Febrero, 2004 05:17:11 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1313 Año 8, martes 10 de febrero de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Doomjuice, nuevo gusano que ataca a Microsoft
2 - W32/Doomjuice.A. Utiliza PCs infectadas por Mydoom
3 - Sitios maliciosos pueden identificar archivos con el IE
4 - W32/Dinfor.A. Se propaga por redes, usando RPC/DCOM
_____________________________________________________________
1 - Doomjuice, nuevo gusano que ataca a Microsoft
_____________________________________________________________
http://www.vsantivirus.com/10-02-04.htm
Doomjuice, nuevo gusano que ataca a Microsoft
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Según informa Netcraft, el sitio principal de Microsoft en
www.microsoft.com, ha experimentado algunos problemas de
rendimiento en ciertos momentos del día 9 de febrero,
probablemente debido al ataque distribuido de denegación de
servicio (DDoS), lanzado por el nuevo gusano Doomjuice.
Para algunos, este gusano, reportado por primera vez en la
fecha mencionada, podría ser la versión C del Mydoom, aunque
posee importantes diferencias con las anteriores. Por
ejemplo, no se propaga por correo electrónico ni por redes
P2P (KaZaa).
Sin embargo, es casi seguro que fue creado por el mismo
programador, ya que además contiene el código fuente del
Mydoom.A, el cual es copiado en un archivo comprimido, en
varias carpetas de las máquinas infectadas por el Doomjuice.
La razón de distribuir el código fuente puede tener dos
interpretaciones. Una, es que de ese modo otros programadores
podrían modificarlo y crear fácilmente nuevas versiones del
gusano.
La otra es que, el autor se cubre así de ser culpado en un
juicio, por tener el código en su máquina (si fuera
capturado), ya que ahora el mismo se encuentra en cientos de
computadoras.
Para propagarse, el Doomjuice utiliza solamente la puerta
trasera dejada por el Mydoom A y B en las máquinas
infectadas.
Entre sus rutinas destructivas, se encuentra la que realiza
ataques al sitio de Microsoft (en este caso, solo a dicho
sitio, y no a SCO.com). El código de ataque ha sido
optimizado, y ya no presenta los errores de las versiones
anteriores. Según la fecha, el nuevo gusano comienza cada
ataque luego de un tiempo de espera (del 8 al 11 de febrero),
o en forma inmediata (desde el 12 de febrero). En todo caso
los ataques serán continuos, sin fecha de finalización.
Para realizar los ataques, el gusano hace que cada máquina
infectada realice hasta 80 peticiones simultáneas de la
página principal del sitio www.microsoft.com. Además estas
peticiones se repiten en un bucle sin fin.
El ataque podría haber comenzado a las 9:00 GMT/UTC, aunque
el gusano fue reportado varias horas después. En ese momento,
el sitio de Microsoft sufrió algunas demoras para responder.
Los técnicos de Microsoft implementaron de inmediato algunos
filtros, deteniendo toda solicitud que en el paquete enviado
no incluya los cabezales de User-Agent (identifica el
navegador que hace la solicitud). Los paquetes creados por el
gusano parecen carecer de esta identificación.
Hasta el momento, este filtro y otras medidas que se han
tomado, y que no han sido reveladas por razones de seguridad,
parecen haber dado buenos resultados. El sitio se ha
mantenido accesible, salvo breves interrupciones.
A pesar de ello, los monitoreos realizados, parecen indicar
que el acceso desde algunos lugares, podría realizarse con
cierta dificultad.
Según Netcraft, el comportamiento general de la red, no ha
sufrido ninguna degradación significativa en su rendimiento
hasta el momento.
* Más información:
W32/Doomjuice.A. Utiliza PCs infectadas por Mydoom
http://www.vsantivirus.com/doomjuice-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Doomjuice.A. Utiliza PCs infectadas por Mydoom
_____________________________________________________________
http://www.vsantivirus.com/doomjuice-a.htm
Nombre: W32/Doomjuice.A
Tipo: Gusano de Internet
Alias: Doomjuice, Doomjuice.A, Mydoom.C, W32.HLLW.Doomjuice,
W32/Doomjuice.worm, W32/Doomjuice.worm.a, W32/Doomjuice-A,
Win32/Doomjuice.A, Win32/Mydoom.C, Worm.Win32.Doomjuice,
WORM_DOOMJUICE.A
Plataforma: Windows 32-bit
Fecha: 9/feb/04
Tamaño: 36,864 bytes (UPX)
Doomjuice es un gusano de Internet reportado por primera vez
el 9 de febrero de 2004.
Se propaga a través del acceso trasero (backdoor), creado por
el gusano Mydoom A y B, en las máquinas infectadas por él.
Son vulnerables todas las máquinas infectadas con el gusano
Win32/Mydoom.A y Win32/Mydoom.B (más de un millón de equipos
estimados en el mundo entero).
Se trata de un gusano seguramente basado en el Mydoom, y
probablemente del mismo autor, de allí que algunos lo
identificaron al comienzo como Mydoom.C
Una de las principales diferencias con el Mydoom original, es
que no posee rutinas de propagación por correo electrónico, y
tampoco se propaga por KaZaa.
Tampoco se utiliza el mismo método de encriptación (en Mydoom
A y B, se emplea la encriptación ROT13), en su lugar se
emplean métodos más robustos que dificultan su examen.
Solo se propaga a través de máquinas previamente infectadas
con el Mydoom, como lo hacen otros gusanos actualmente (como
el Vesser o Deadhat, http://www.vsantivirus.com/vesser-a.htm).
Para localizar máquinas infectadas con el backdoor activo, el
gusano examina direcciones IP al azar, intentando conectarse
al puerto TCP/3127.
Si este puerto está abierto, el gusano envía un comando, y
luego se envía a si mismo en un paquete de construcción
especial, para hacer que el Mydoom ejecute el archivo
recibido, e infecte la computadora con el Doomjuice.
El gusano contiene el código fuente del Mydoom.A en un
formato comprimido (28,569 bytes), el cuál es copiado luego
en las máquinas infectadas. Esto también abre la posibilidad
de que surjan variantes del gusano original, realizadas por
otros programadores, y además, dificulta la localización del
autor por parte de las autoridades (solo el autor tendría el
código fuente original en su máquina, y ahora lo tienen
cientos de miles de usuarios).
Este código es copiado en el directorio raíz de todos los
discos duros del sistema infectado, en el directorio TEMP, en
el directorio del usuario (por ejemplo C:\DOCUMENTS AND
SETTINGS\[USUARIO]), y en WINDOWS y WINDOWS\SYSTEM (o
SYSTEM32), con el siguiente nombre:
sync-src-1.00.tbz
El Doomjuice, no posee los errores del Mydoom en sus rutinas
de ataques de denegación de servicio, que en este caso están
apuntadas al sitio de Microsoft únicamente, y no al de SCO.
Tampoco tiene fecha de expiración, una vez que comiencen los
ataques, continuarán de forma indefinida.
Cuando se ejecuta, el gusano crea un semáforo (mutex), con el
siguiente nombre, para asegurarse de que no exista más de una
copia ejecutándose al mismo tiempo:
sync-Z-mtx_133
Luego, se copia en el directorio del sistema:
c:\windows\system\intrenat.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows 9x
y ME, como "c:\winnt\system32" en Windows NT y 2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
Crea alguna de las siguientes entradas en el registro, para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Gremlin = c:\windows\system\intrenat.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Gremlin = c:\windows\system\intrenat.exe
Si el gusano se ejecuta entre los días 8 y 11 de febrero,
inicia un thread (proceso de ejecución), en el que espera por
365 segundos. Luego de ello, crea hasta 80 hilos simultáneos
que solicitan en un bucle infinito, una página de
www.microsoft.com.
Si se ejecuta después del 11 de febrero, el ataque se inicia
de inmediato, sin la espera de los 365 segundos.
En su código existe una referencia a www.ford.com.
* Relacionados:
Doomjuice, nuevo gusano que ataca a Microsoft
http://www.vsantivirus.com/10-02-04.htm
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar los archivos creados por el gusano.
* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
intrenat.exe; sync-src-1.00.tbz
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), lo siguiente:
intrenat.exe; sync-src-1.00.tbz
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Gremlin
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Gremlin
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Sitios maliciosos pueden identificar archivos con el IE
_____________________________________________________________
http://www.vsantivirus.com/vul-ie-revela-arch.htm
Sitios maliciosos pueden identificar archivos con el IE
Por Marcelo A. Rodriguez
marcelo-ar@videosoft.net.uy
Jelmer ha descubierto una vulnerabilidad en el Internet
Explorer que permite a sitios maliciosos detectar la
presencia de archivos locales.
El problema es que un vbscript puede hacer que el IE reporte
diferentes mensajes de error dependiendo de si un archivo
especificado existe o no. Esto se podría explotar para
determinar la presencia de programas o datos específicos.
Esta es una variante de viejas vulnerabilidades ya reportadas
que afectaban a versiones previas del Internet Explorer.
Esta vulnerabilidad se ha confirmado en la versión 6.0 SP1
del IE con todos los parches instalados.
Recomendación:
Inhabilitar los ActiveX, excepto para los sitios de confianza
como se indica aquí:
http://www.vsantivirus.com/faq-sitios-confianza.htm
Publicado en:
http://www.secunia.com/advisories/10820/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Dinfor.A. Se propaga por redes, usando RPC/DCOM
_____________________________________________________________
http://www.vsantivirus.com/dinfor-a.htm
Nombre: W32/Dinfor.A
Tipo: Gusano de Internet
Alias: Dinfor, W32.Dinfor.Worm, WORM_SDBOT.FP
Fecha: 6/feb/04
Plataforma: Windows 32-bit
Tamaño: 115,744 bytes
Gusano que se propaga a través de recursos compartidos de
redes.
Se aprovecha del uso de contraseñas débiles (en blanco, por
defecto, o con pocos caracteres), y de la vulnerabilidad en
los protocolos RCP/DCOM, para crear cuentas de usuario en
equipos remotos.
El gusano posee característica de troyano con puerta trasera
(backdoor), conectándose a un canal de IRC predeterminado
para recibir instrucciones de un atacante, que pueden tomar
el control del equipo infectado.
El gusano intenta borrar los siguientes archivos,
pertenecientes al antivirus de Symantec, si se encuentran
instalados en la computadora infectada:
c:\program files\norton antivirus\navapsvc.exe
d:\program files\norton antivirus\navapsvc.exe
c:\program files\symantec\liveupdate\aupdate.exe
d:\program files\symantec\liveupdate\aupdate.exe
NAVAPSVC.EXE (Norton Anti-Virus Auto Protect Service)
AUPDATE.EXE (Norton Auto-Update)
Cuando se ejecuta, se copia en las siguientes ubicaciones y
con los siguientes nombres:
\temp\d.bat
c:\windows\system\cmst32.exe
c:\windows\system\pctime32.bat
c:\windows\system\runtime.bat
c:\windows\system\smshost.exe
c:\windows\system\spoolserv.exe
c:\windows\system\svhost32.exe
SMSHOST.EXE es una herramienta para explotar la
vulnerabilidad RPC/DCOM. Este archivo puede aparecer
infectado con el virus W32/Pinfi.
SVHOST32.EXE es una utilidad legítima llamada PsExec, para la
ejecución remota de código a través de una red.
NOTA 1: "c:\windows\system" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows 9x y ME, como "c:\winnt\system32" en Windows NT y
2000 y "c:\windows\system32" en Windows XP y Windows Server
2003).
NOTA 2: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
El gusano agrega las siguientes entradas en el registro, las
dos primeras para autoejecutarse en cada reinicio de Windows,
y las demás para su uso interno:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft DirectX = Spoolserv.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsoft DirectX = Spoolserv.exe
HKLM\System\CurrentControlSet\Control\Lsa
restrictanonymous = "1"
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"
El gusano ejecuta RUNTIME.BAT y PCTIME32.BAT para propagarse
a computadoras en la misma red, explotando las
vulnerabilidades mencionadas al principio.
Si obtiene éxito, copiará el archivo CMST32.EXE (una copia
del propio gusano), en la siguientes ubicaciones de la
computadora remota:
\documenti e impostazioni\all users
\start menu\programs\startup
\documents and settings\all users
\menu demarrer\programmes\demarrage
\documents and settings\all users
\menu start\programma's\opstarten
\documents and settings\all users
\start menu\programs\startup
\documents and settings\all users
\start-meny\program\autostart
\dokumente und einstellungen\all users
\start menu\programs\startup
\win\start menu\programs\startup
\windows\all users\start menu\programs\startup
\windows\start menu\programs\startup
\winnt\all users\start menu\programs\startup
\winnt\profiles\all users\start menu\programs\startup
\winnt\start menu\programs\startup
El gusano puede unirse a un determinado canal de IRC
(Internet Relay Chat), para recibir instrucciones de un
atacante, y realizar algunas de las siguientes acciones:
º Detener aplicaciones de antivirus y cortafuegos conocidos.
º Borra los recursos IPC$, ADMIN$ y C$
º Borrar recursos compartidos E$, D$ y C$
º Obtener información del equipo infectado
º Subir y descargar archivos
º Ejecutar programas y archivos
º Realizar ataques DoS a otras computadoras
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
\temp\d.bat
c:\windows\system\cmst32.exe
c:\windows\system\pctime32.bat
c:\windows\system\runtime.bat
c:\windows\system\smshost.exe
c:\windows\system\spoolserv.exe
c:\windows\system\svhost32.exe
IMPORTANTE: No borre C:\WINDOWS\SYSTEM32\SVCHOST.EXE, ya que
es un archivo legítimo de Windows.
* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
cmst32.exe
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), lo siguiente:
cmst32.exe
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Microsoft DirectX
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Microsoft DirectX
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Control
\Lsa
7. Pinche en la carpeta "Lsa" y en el panel de la derecha,
bajo la columna "Nombre", busque y modifique la siguiente
entrada para que el valor de "restrictanonymous" sea cero:
"0"
restrictanonymous = "0"
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Ole
9. Pinche en la carpeta "Ole" y en el panel de la derecha,
bajo la columna "Nombre", busque y modifique la siguiente
entrada para que el valor de "EnableDCOM" sea "Y".
EnableDCOM = "Y"
10. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Sobre RPC y DCOM
RPC (Remote Procedure Call o Llamada de Procedimiento
Remoto), es un protocolo utilizado por Windows para permitir
que un programa que se ejecuta en un equipo, pueda acceder a
los servicios de otro equipo conectado en red.
El fallo ocurre en el intercambio de mensajes entre procesos
que se realiza sobre protocolos TCP/IP al utilizarse RPC, por
un desbordamiento de búfer, y afectan la interface DCOM con
RPC, que controla las solicitudes de activación de objetos de
DCOM que las máquinas clientes envían al servidor.
DCOM (Distributed Component Object Model o Modelo de Objeto
Componente Distribuido) es un protocolo que nos muestra un
conjunto de interfaces que permiten a los clientes y
servidores comunicarse entre sí. Los objetos de programa de
un cliente pueden solicitar los servicios de objetos de
programas servidores, en otras computadoras dentro de una
red. Solo es necesario que todos se estén ejecutando en
Windows 9x (95, 98 y Me) o NT (NT, 2000 y XP).
Usando una interface DCOM, un programa puede iniciar una
Llamada de Procedimiento Remoto (Remote Procedure Call o RPC)
a un objeto de otro programa especializado, que proporciona
el procesamiento necesario y devuelve el resultado.
DCOM emplea a su vez protocolos TCP/IP y HTTP, y está
incluido en las versiones posteriores a Windows 98 y NT. DCOM
escucha en el puerto 135 de TCP/UDP y en los puertos 139, 445
y 593 de TCP.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1313 Año 8, martes 10 de febrero de 2004
|
VSantivirus No. 13
Responder a este mensaje
