Mostrando mensaje 385     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1336 Año 8, jueves 4 de marzo de 2004 Fecha: Jueves, 4 de Marzo, 2004  05:28:10 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1336 Año 8, jueves 4 de marzo de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Oleadas de virus y falsa percepción de seguridad 2 - Problemas de los antivirus perimetrales con el Bagle 3 - W32/Bagle.K. El asunto contiene "e-mail account" 4 - W32/Mydoom.H. Se muestra como un icono de Word 5 - W32/Netsky.F. Propagación masiva vía e-mail _____________________________________________________________ 1 - Oleadas de virus y falsa percepción de seguridad _____________________________________________________________ http://www.vsantivirus.com/fdc-falsa-seguridad.htm Oleadas de virus y falsa percepción de seguridad Por Fernando de la Cuadra (*) Fdelacuadra@pandasoftware.com Hace pocas fechas comentaba la oleada de virus que asoló Internet a finales de enero. De nuevo nos encontramos con otra oleada, de proporciones similares o quizá superiores a la anterior. En el momento en el que escribo este artículo, se han detectado hasta seis variantes de Netsky y siete de Bagle. Sin duda, van a aparecer más variantes en las próximas fechas, ya que los creadores de estos códigos están volviendo a compilar y comprimir de distintas maneras los virus para confundir tanto al usuario, como a los antivirus. En muy poco tiempo, los creadores de virus están consiguiendo que las empresas antivirus lancen alertas que, en rarísimas ocasiones, se han sucedido tan rápidamente unas a otras. Debido a este nivel constante de alerta, el umbral de percepción de los usuarios respecto a los peligros víricos cambia radicalmente. Así, los usuarios y administradores pueden "acostumbrarse" a un nivel de riesgo alto, hasta el punto de que una nueva alerta no les llame la atención por haberse convertido en una situación habitual. En cuanto aparece un código malicioso peligroso y las alarmas saltan, los usuarios y administradores de red se aprestan a actualizar sistemas y a estar vigilantes ante los peligros. Sin embargo, ese nivel de atención no puede mantenerse durante mucho tiempo, y paulatinamente tiende a bajar. Esa es la característica que están empezando a utilizar los creadores de virus, para lanzar nuevas creaciones cuando la palabra "alerta" suene demasiado a conocida. Es lo que de pequeños aprendimos todos con el cuento de "Pedro y el lobo", en el que de tanto decir "que viene el lobo" los habitantes del pueblo dejaron de hacer caso al pastorcillo. Y cuando el lobo se presentó de verdad, pocas ovejas sobrevivieron. Si deja de prestarse atención a los avisos sobre infecciones y se entiende como normal las situaciones de alerta, es muy posible que los sistemas puedan verse afectados por virus que surjan en los próximos días. En este clima de inseguridad cibernética también podríamos contar con algún tipo de ataque contra servidores en Internet. Si ya los hackers hicieron un "ensayo" con la página web de Santa Cruz Operation con el virus Mydoom, podemos pensar en ataques a gran escala contra otro tipo de servidores que puedan tambalear, de una manera mucho más directa, determinados estamentos económicos. Si un ataque global y a gran escala tuviera como objetivo, pongamos por caso, los sistemas del Banco Central Europeo o la Reserva Federal Estadounidense, la economía mundial podría verse afectada peligrosamente. Cierto es, no cabe duda, de que al ser un ataque contra elementos virtuales la recuperación de esa crisis sería tan breve (o tan larga) como la recuperación de esos sistemas. No debemos dejar que sucesivas alertas hagan bajar nuestro nivel de atención, ya que es precisamente lo que un virus va a buscar: tener a un administrador distraído para poder atacar a los sistemas. Por el contrario, deben estar más pendientes que nunca de cualquier noticia que surja, y en consecuencia, adoptar las medidas de seguridad más apropiadas en cada momento. De esta manera, los sistemas estarán protegidos independientemente por muchas variantes que lleguen a sumar Netsky, Bagle o el código malicioso que protagonice en este momento la última alerta. (*) Fernando de la Cuadra es Editor Técnico Internacional de Panda Software (http://www.pandasoftware.com) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Problemas de los antivirus perimetrales con el Bagle _____________________________________________________________ http://www.vsantivirus.com/hi-vul-bagle-zip.htm Problemas de los antivirus perimetrales con el Bagle Por Bernardo Quintero bernardo@hispasec.com [Publicado con autorización de Hispasec] Problemas de los antivirus perimetrales con algunas versiones de Bagle. Algunas de las numerosas variantes de Bagle aparecidas en estos últimos días, y que forman parte de la plaga de gusanos que nos azota actualmente, tienen la particularidad de propagarse como un archivo ZIP protegido con contraseña. Esta característica ha supuesto un contratiempo para los antivirus, en especial para los situados en los servidores de correo, que en principio no contaban con mecanismos para detectar este tipo de archivos, de forma que estas muestras llegaban infectadas al buzón de los usuarios. Este problema ya lo predecíamos en Hispasec el pasado diciembre, bajo el título "Gusano invisible a filtros y antivirus perimetrales" (http://www.hispasec.com/unaaldia/1863). A continuación reproducimos un par de extractos de aquella nota: "Desde el punto de vista de un antivirus en el perímetro la detección se produce a través del análisis del código. Una vez extraído el ejecutable que se encuentra en el ZIP, se compara su código con una base de datos de firmas de virus (porciones de código de los virus conocidos). Si existe coincidencia, hemos encontrado al gusano. Si además de comprimir, utilizamos funciones de contraseña y cifrado, podemos obtener un archivo que contiene un ejecutable que los antivirus no pueden extraer y, por tanto, comprobar si se trata de un virus o no. Para que el virus sea efectivo debe, mediante algún tipo de engaño, proporcionar la contraseña al usuario y convencerlo para que lo descomprima y ejecute." [..] "Pero, ¿que ocurre si el gusano es capaz de comprimirse y cifrarse en base a una contraseña al azar antes de cada autoenvío?. En ese caso tendríamos envíos de archivos con aspectos externos diferentes, ya que la contraseña se utiliza como clave para el cifrado simétrico del archivo, dando como resultado diferentes archivos, con diferentes firmas, según la contraseña utilizada. Llegados a este punto tendríamos un archivo protegido, de forma que los antivirus no pueden examinar su interior, y que tampoco podrían reconocerlo por su aspecto exterior ya que varía en cada envío al utilizar diferentes contraseñas." Esta técnica ha sido la utilizada por algunas variantes de Bagle, que llegan al usuario en un mensaje donde se le facilita una contraseña para que puedan abrir el archivo ZIP adjunto. Veamos algunos mensajes de ejemplo, algunos más elaborados como: Dear user, the management of [dominio del destinatario] mailing system wants to let you know that, Your e-mail account has been temporary disabled because of unauthorized access. Advanced details can be found in attached file. In order to read the attach you have to use the following password: 21049. O tan simples como: archive password: 38902 Si tenemos un antivirus instalado en nuestro PC, en estos casos el problema es menor, ya que en vez de detectar el gusano cuando llega a nuestro buzón, simplemente lo detectaría más tarde, si engañados por el mensaje introducimos la contraseña e intentamos acceder al interior del ZIP. Al extraerlo o ejecutarlo se realiza una copia del ejecutable original en el disco, momento en el cual nuestro antivirus residente puede identificarlo sin problemas. El auténtico problema de esta técnica se presenta en los antivirus perimetrales, por ejemplo los que están instalados en el servidor de correo. Cuando el ZIP protegido con contraseña pasa por el servidor de correo, el motor antivirus no podía examinar los archivos que esconde en su interior y determinar si están infectados o no. El resultado es que el archivo ZIP pasa al buzón de los usuarios, y éstos pueden tener una falsa sensación de seguridad al creer que su servidor de correo les detecta cualquier tipo de virus o gusano. En la nota del pasado diciembre, donde comentábamos este tipo de problemas, también apuntábamos una posible solución en el caso de los ZIP protegidos con contraseña: "Si nos basamos en el formato ZIP, que ya de por si tiene algunas debilidades por diseño en su algoritmo, existen diversas soluciones para atajar este hipotético gusano en tránsito, por ejemplo se almacena en el ZIP en texto claro algunos datos como el nombre, tamaño o CRC del archivo original, que podría permitir detectarlo de forma rápida si el gusano no utiliza funcionalidades extras para modificar algunos de sus aspectos más externos." Este método es el utilizado por soluciones antivirus como NOD32, que nos conste el primero en detectar las variantes de ZIP con contraseñas, o Panda, que también incorpora este tipo de reconocimiento. Estas soluciones pueden detectar los ZIP protegidos que Bagle infecta, sin necesidad de conocer la contraseña. Otras casas han optado por otro camino, por ejemplo Kaspersky o BitDefender, que consiste en identificar la contraseña en el cuerpo del mensaje y utilizarla para poder abrir el ZIP protegido y analizar el ejecutable de su interior. Sin entrar en detalles, tampoco se trata de dar ideas, es bastante obvio que ambos métodos tienen sus propias debilidades intrínsecas, y que podrían ser también burladas por futuras variantes de forma fácil. En cualquier caso lo importante es la capacidad de reacción que algunas casas antivirus están demostrando para adaptarse a las nuevas amenazas, y exigir al resto de motores antivirus, que no lo hayan hecho ya, incorporen cuanto antes éstas u otras soluciones. Dejando a un lado las soluciones antivirus, otras medidas que se están mostrando eficaces contra este tipo de gusanos van desde simples políticas en el tipo de archivos permitidos en el correo electrónico, filtros por contenidos, o filtros anti-spam. Por último, hacer hincapié una vez más, que si bien los antivirus y filtros perimetrales representan una capa importante en la protección de una red, el punto crítico a proteger sigue siendo el PC o la estación de trabajo, ya que por definición hay formatos o protocolos que no permiten analizar los contenidos desde el perímetro. Por eso nunca debemos descuidar el antivirus en nuestro ordenador de trabajo, de manera independiente a las soluciones de seguridad instaladas en el servidor de correo o similares. (*) Este artículo, original de Hispasec http://www.hispasec.com/, es publicado en VSAntivirus.com con la respectiva autorización. Artículo original: http://www.hispasec.com/unaaldia/1956 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Bagle.K. El asunto contiene "e-mail account" _____________________________________________________________ http://www.vsantivirus.com/bagle-k.htm Nombre: W32/Bagle.K Tipo: Gusano de Internet Alias: Bagle.K, I-Worm.Bagle.j, I-Worm.Bagle.k, W32.Beagle.K@mm, W32/Bagle.gen@MM, W32/Bagle.K.worm, W32/Bagle.k@MM, W32/Bagle-K, Win32.Bagle, Win32.Bagle.K, Win32.Bagle.K, Win32/Bagle.K, Win32/Bagle.K.Worm, Win32/Bagle.Variant.Worm, W32.Beagle.A@mm, WORM_BAGLE.GEN, WORM_BAGLE.K, ZIP.Bagle Plataforma: Windows 32-bit Tamaño: variable, 12,293 a 13,792 bytes (UPX) (agrega basura) Puertos: TCP/2745 Fecha: 3/mar/04 Detectado el 3 de marzo de 2004, es una nueva variante del Bagle. Los adjuntos poseen extensiones .EXE, .PIF o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en el propio texto del mensaje. Esto pretende eludir la detección de los antivirus (muchos ya han incluido una rutina para examinar este tipo de archivo). Además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios. El ejecutable muestra el icono de un documento de WordPad. El gusano puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso, y toma el mismo dominio del destinatario. Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos. El mensaje que utiliza para su propagación es el siguiente: De: [Dirección falsa] administration@[dominio] management@[dominio] noreply@[dominio] staff@[dominio] support@[dominio] Donde [dominio] es el mismo del destinatario. Asunto: [uno de los siguientes] E-mail account disabling warning. E-mail account security warning. Email account utilization warning. Important notify about your e-mail account. Notify about using the e-mail account. Notify about your e-mail account utilization. Warning about your e-mail account. Texto: [1]+[2]+[3]+[4]+[5]+[6] Donde el componente [1] puede ser uno de los siguientes: Dear user of "[dominio]" mailing system, Dear user of [dominio] e-mail server gateway, Dear user of [dominio], Dear user of e-mail server "[dominio]", Dear user, the management of [dominio] mailing system wants to let you know that, Hello user of [dominio] e-mail server, ([dominio] es el mismo del que figura en el remitente) El componente [2] puede ser uno de los siguientes textos: Your e-mail account has been temporary disabled because of unauthorized access. Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service. Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information. We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions. Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software. Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions. El componente [3] es seleccionado de las siguientes líneas: Advanced details can be found in attached file. For details see the attach. For details see the attached file. For further details see the attach. For more information see the attached file. Further details can be obtained from attached file. Pay attention on attached file. Please, read the attach for further details. El componente [4] puede ser una de las siguientes frases (solo se incluye si el adjunto es un .ZIP con contraseña): Attached file protected with the password for security reasons. Password is [contraseña]. For security purposes the attached file is password protected. Password is "[contraseña]". For security reasons attached file is password protected. The password is "[contraseña]". In order to read the attach you have to use the following password: [contraseña]. Donde [contraseña] es un número de cinco dígitos, siempre diferente, creada por una rutina del gusano. El componente [5] puede ser uno de los siguientes: Best wishes, Cheers, Have a good day, Kind regards, Sincerely, The Management, Y el componente [6] es siempre la siguiente línea: The [dominio] team http://www.[dominio] Donde [dominio] es también el mismo del remitente. Datos adjuntos: [uno de los siguientes] attach document info information message moreinfo readme textdocument textfile Los adjuntos pueden tener las siguientes extensiones: .exe .pif .zip Los archivos .ZIP, como vimos, poseen contraseña (la que se muestra en el mensaje). El nombre del archivo contenido dentro del ZIP es generado al azar, con 5 a 9 caracteres seleccionados de la letra "a" a la "y", y con extensión .EXE. Ejemplos: hsafgbdvf.exe darwe.exe ttqdhga.exe El ejecutable muestra el icono de los documentos de WordPad. [ver imagen: http://www.vsantivirus.com/bagle-j.htm] Mientras tanto, examina si la fecha actual es 25 de abril de 2005 o superior. Si lo es, finaliza su acción. En caso contrario, crea los siguiente archivos en la carpeta System de Windows: c:\windows\system\winsys.exe c:\windows\system\winsys.exeopen c:\windows\system\winsys.exeopenopen NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run ssate.exe = c:\windows\system\winsys.exe Crea también la siguiente entrada para almacenar valores de su configuración actual: HKCU\Software\DateTime Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones: .adb .asp .cfg .cgi .dbx .eml .htm .mdx .mmf .msg .nch .ods .php .pl .sht .tbb .txt .uin .wab .xml Ignora direcciones de correo que contengan las siguientes cadenas: @avp. @hotmail.com @microsoft @msn.com local noreply postmaster@ root@ El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres: ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe También intenta acceder a varios sitios de Internet, para notificar al autor vía HTTP, con una solicitud GET, cada determinada cantidad de tiempo, conectándose con un script PHP. Posee algunas características de troyano de acceso remoto y para ello abre el puerto TCP/2745, quedando a la espera de comandos. Esta opción sería usada para actualizar al propio gusano. Cuando ello sucede, se descarga la nueva versión que luego se ejecuta para suplantar la anterior. Utiliza el parámetro -UPD para ello. El gusano no se ejecuta después del 25 de abril de 2005. Si un archivo del gusano es ejecutado después de esa fecha, se auto invoca con el parámetro -DEL para desinstalarse del sistema. También intenta finalizar los siguientes procesos: atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avltmain.exe avpupd.exe avwupd32.exe avxquar.exe cfiaudit.exe drwebupw.exe icssuppnt.exe icsupp95.exe luall.exe mcupdate.exe nupgrade.exe outpost.exe update.exe El gusano contiene el siguiente texto oculto en su código: Hey, NetSky, fuck off you bitch! * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\winsys.exe c:\windows\system\winsys.exeopen c:\windows\system\winsys.exeopenopen Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: ssate.exe 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \DateTime 5. Pinche en la carpeta "DateTime" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Mydoom.H. Se muestra como un icono de Word _____________________________________________________________ http://www.vsantivirus.com/mydoom-h.htm Nombre: W32/Mydoom.H Tipo: Gusano de Internet y caballo de Troya Alias: Mydoom.H, W32.Novarg.H, W32.Novarg.H@mm, W32/Mydoom.h@MM, Win32.Mydoom.H, Win32/Mydoom.H, WORM_MYDOOM.H, W32/Mydoom.H-mm, I-Worm.Mydoom.g, Win32/Shimg, W32/Mydoom-H, W32.Mydoom.G@mm, W32/Mydoom.H@mm, Win32/MyDoom.H.Worm, ZIP.Mydoom.H Plataforma: Windows 32-bit Puerto: TCP/1080, 80 Tamaño: 32,256 bytes (UPX) Fecha: 3/mar/04 Variante del Mydoom detectado el 3 de marzo de 2004. Se propaga por correo electrónico y cuando se ejecuta, abre el bloc de notas y muestra caracteres sin sentido. Realiza ataques de denegación de servicio a la dirección www.symantec.com y symantec.com (Norton Antivirus). Puede borrar ciertos archivos del disco duro, así como desactivar algunos procesos relacionados con conocidos cortafuegos y antivirus, además de borrar algunos archivos relacionados con éstos. Crea copias de si mismo con extensión .EXE y nombres al azar, en carpetas también seleccionadas al azar, o con los mismos nombres de otros archivos pero con doble extensión. Los remitentes de los mensajes son falsos, generados con los siguientes componentes [usuario]+[dominio]: Usuario: [caracteres al azar] alex bill bob james john kevin peter sales sam stan tom Dominio: @[caracteres al azar].edu @aol.com @hotmail.com @msn.com @yahoo.com Por ejemplo: alex@aol.com sales@hotmail.com El mensaje puede tener alguno de los siguientes asuntos: [caracteres sin sentido o vacío] :-) :) account details Address verification Alert anna Attention Automatic notification Auto-reply Bank information beauty confirmed corrupted Daily Report dear friend! Details are in the attached document do you love me do you still love me Email verification Empty excel excuse me Expired account For your eyes only from me Full message is in the attached document fw: greetings hello hello my friend hello! :) here Here is the document here is the document Here is the file Here it is hey hey! hi! hi! :) Hi! Check the attachment for details how are you? i can tell you the future i need you Interesting jessica join just some stuff kate kleopatra Look at the attached file Look at the document maria melissa Micro$oft micro$oft must die. support us! Microsoft missed my details my photos notification Ok Okay Open the document pamela photo Please have a look at the attached file please read Please read the attached file Please, confirm the registration Please, read and let me know what do you feel Please, reply price list price-list pricelist question Re: re: Read the attached message Read the document Read this read!!! Registration Registration rejected Rejected Reply report Request Response See attachemnt See attachment See the attached document See the attached file for details See the attached message See you see you See you soon service some stuff spreadsheet summary Test thank you thanks thanks! unknown verification Warning we're experiencing technical problems we're unable to process your request You have been successfully registered your account Your account details Your account is about to be expired Your account is expired your archive your chance Your details your document Your document is attached Your file is attached your letter your music Your profile Your request your text your website Y algunos de los siguientes textos: :-):) Address verification Alert anna Attention Automatic notification Auto-reply Bank information beauty confirmed corrupted dear friend! Details are in the attached document Email verification Empty excuse me Expired account For your eyes only Full message is in the attached document fw:re:question hello! :) Here is the document Here is the file Here it is hey hey! hi! :) Hi! Check the attachment for details how are you? i can tell you the future i need you Interesting join just some stuff kate kleopatra Look at the attached file Look at the document Micro$oft micro$oft must die. Microsoft missed my photos notification Ok Okay Open the document photo Please have a look at the attached file please read Please read the attached file Please, confirm the registration Please, read and let me know what do you feel Please, reply price list Re: Read the attached message Read the document Read this read!!! Registration Registration rejected Rejected Reply report Request Response See attachemnt See the attached document See the attached file for details See the attached message see you See you soon some stuff support us! Test unknown Unknown verification Warning we're experiencing technical problems we're unable to process your request You have been successfully registered Your account details Your account is about to be expired Your account is expired your chance Your details Your document Your document is attached Your file is attached Your profile Utiliza los siguientes nombres de adjuntos (más extensión): account all_document application archive att attach Attached attachment attfile bill check description details doc document Document excel File file for_you found hello here here is the document id important info Info information jessica Letter letter mail maria melissa message message_details message_part2 misc More more msg msg2 music my details news no note nothing object pamela part2 payment paypal pic post posting price problem ps readme reply response service sheet spread stuff test Text text thank you thanks thanks! your archive your document your letter your music your text your website Las extensiones siempre son .COM, .BAT, .EXE, .PIF, .CMD, .SCR o .ZIP, y en ocasiones el gusano utiliza extensiones dobles. Los archivos .ZIP contienen la versión con el mismo nombre y una de las extensiones anteriores (excepto .ZIP). El icono del ejecutable, representa un documento de Word, con la idea de engañar al usuario: [ver imagen en http://www.vsantivirus.com/mydoom-h.htm] Cuando se ejecuta, crea los siguientes archivos en el sistema infectado: \TEMP\Message c:\windows\system\[al azar].[extensión] c:\windows\system\[al azar].dll Donde [extensión] es una de las siguientes: .bat .cmd .exe .pif .scr NOTA 1: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. NOTA 2: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). Para autoejecutarse en cada reinicio, modifica las siguientes entradas en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [al azar] = c:\windows\system\[al azar].[extensión] HKCU\Software\Microsft\Windows\CurrentVersion\Run [al azar] = c:\windows\system\[al azar].[extensión] Ejemplo: HKCU\Software\Microsft\Windows\CurrentVersion\Run soyfwninyhhfn = c:\windows\system\elroe.scr También modifica reiteradamente las siguientes entradas del registro: HKLM\Software\Microsoft\Ole EnableDCOM = "N" HKLM\SYSTEM\CurrentControlSet\Services\Messenger Start = 3 HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry Start = 3 HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start = 3 HKLM\SYSTEM\CurrentControlSet\Services\RasAuto Start = 0x3 Cuando se ejecuta, el gusano abre una puerta trasera ejecutando el archivo .DLL como un proceso hijo (child process) de EXPLORER.EXE, en el primer reinicio de la computadora infectada. Para ello crea estas entradas en el registro: HKEY_CLASSES_ROOT\CLSID \{35CEC8A3-2BE6-11D2-8773-92E220524153} \InProcServer32 (Predeterminado) = c:\windows\system\[al azar].dll HKEY_CLASSES_ROOT\CLSID \{E6FB5E20-DE35-11CF-9C87-00AA005127ED} \InProcServer32 (Predeterminado) = c:\windows\system\[al azar].dll Un Child Process es un proceso originado por un proceso padre con el que comparte recursos. El gusano evita enviar mensajes a cualquier dirección que en su nombre contenga algunas de las siguientes cadenas: .edu .gov .mil abuse accoun admin anyone arin. avp berkeley bsd bugs ca certific example.com feste fsf. gnu. gold-certs google. gov. help hotmail.com iana. ibm.com icrosoft. ietf. isc.org isi.edu kernel. linux listserv master mit.edu mozilla. msn.c nai.co nobody noone norepl norma not ntivi packetstorm panda privacy rating rfc-edit ripe. root ruslis rutgers.edu samples secur sendmail. sf.net site slashdot. somebody someone sopho sourceforge spam spm ssagelab stanford.edu submit support the.bat trend.c trendmic uci.edu ucsd.edu unix urlon www ymante Las direcciones para el envío de los mensajes infectados, son tomadas de archivos seleccionados de diferentes carpetas de las unidades de discos de la C a la Z, además de la libreta de direcciones. Los archivos examinados, poseen las siguientes extensiones: .adb .asp .dbx .eml .htm .mbx .mht .mmf .msg .nch .php .rtf .sht .tbb .txt .uin .wab También genera direcciones al azar, usando nombres de dominio obtenidos de direcciones válidas. El código del gusano contiene el siguiente texto oculto, donde se critica al autor o autores del gusano NetSky: to netsky's creator(s): imho, skynet is a decentralized peer-to-peer neural network. we have seen P2P in Slapper in Sinit only. they may be called skynets, but not your shitty app. El gusano abre los puertos TCP/80 y 1080 utilizando su componente DLL, para actuar como un servidor proxy, además de descargar y ejecutar otros archivos. Intenta finalizar y borrar archivos correspondientes a los siguientes procesos, pertenecientes a conocidos antivirus y cortafuegos: adaware.exe alevir.exe arr.exe au.exe backweb.exe bargains.exe belt.exe blss.exe bootconf.exe bpc.exe brasil.exe bundle.exe bvt.exe cfd.exe cmd32.exe cmesys.exe datemanager.exe dcomx.exe divx.exe dllcache.exe dllreg.exe dpps2.exe dssagent.exe emsw.exe explore.exe fsg_4104.exe gator.exe gmt.exe hbinst.exe hbsrv.exe hotfix.exe hotpatch.exe htpatch.exe hxdl.exe hxiul.exe idle.exe iedll.exe iedriver.exe iexplorer.exe inetlnfo.exe infus.exe infwin.exe init.exe intdel.exe isass.exe istsvc.exe jdbgmrg.exe kazza.exe keenvalue.exe kernel32.exe launcher.exe lnetinfo.exe loader.exe mapisvc32.exe md.exe mfin32.exe mmod.exe mostat.exe msapp.exe msbb.exe msblast.exe mscache.exe msccn32.exe mscman.exe msdm.exe msdos.exe msiexec16.exe mslaugh.exe msmgt.exe msmsgri32.exe msrexe.exe mssys.exe msvxd.exe netd32.exe nssys32.exe nstask32.exe nsupdate.exe onsrvr.exe optimize.exe patch.exe pgmonitr.exe powerscan.exe prizesurfer.exe prmt.exe prmvr.exe ray.exe rb32.exe rcsync.exe run32dll.exe rundll.exe rundll16.exe ruxdll32.exe sahagent.exe save.exe savenow.exe sc.exe scam32.exe scrsvr.exe scvhost.exe service.exe servlce.exe servlces.exe showbehind.exe sms.exe smss32.exe soap.exe spoler.exe spoolcv.exe spoolsv32.exe srng.exe ssgrate.exe start.exe stcloader.exe support.exe svc.exe svchostc.exe svchosts.exe svshost.exe system.exe system32.exe sysupd.exe teekids.exe trickler.exe tsadbot.exe tvmd.exe tvtmd.exe webdav.exe win32.exe win32us.exe winactive.exe win-bugsfix.exe window.exe windows.exe wininetd.exe wininit.exe wininitx.exe winlogin.exe winmain.exe winnet.exe winppr32.exe winservn.exe winssk32.exe winstart.exe winstart001.exe wintsk32.exe winupdate.exe wnad.exe wupdater.exe wupdt.exe También finaliza y borra los archivos asociados, de cualquier proceso que incluya en su nombre algunas de las siguientes cadenas: avpupd avwupd beagle click d3du fuck hotactio intren penis porn pussy reged sperm taskmg taskmo updat upgrad utpost. Wkufind Busca archivos con las siguientes extensiones, en las unidades de disco instaladas, de la C a la Z (menos CDROMS, DVD, etc.): .avi .doc .jpg .mp3 .mp4 .wav .wma .xls Por cada archivo encontrado, el gusano se copia en la misma carpeta, con el mismo nombre de ese archivo, pero agregando la extensión .EXE o .SCR. Por ejemplo, si encuentra un archivo TEMA.JPG, se copia él mismo como TEMA.JPG.EXE (o TEMA.JPG.SCR). Adicionalmente, puede borrar algunos archivos con extensión .PIF. El gusano examina la existencia de un archivo llamado C:\FEEDLIST. Si no existe, entonces intenta un ataque de denegación de servicio a la dirección www.symantec.com o symantec.com. Esta rutina es lanzada de 10 a 20 minutos después que el gusano se ejecutó por primera vez, y no tiene fecha de caducidad. El ataque consiste en la creación de 8 a 80 nuevos hilos de ejecución, todos ellos enviando solicitudes GET y realizando conexiones directas al puerto 80 del sitio atacado. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: [al azar] = c:\windows\system\[al azar].[extensión] 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: [al azar] = c:\windows\system\[al azar].[extensión] 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \CLSID \{35CEC8A3-2BE6-11D2-8773-92E220524153} \InProcServer32 7. Pinche en la carpeta "InProcServer32" y cambie lo siguiente: (Predeterminado) = c:\windows\system\[al azar].[extensión] Por lo siguiente: En Windows 95, 98 y Me: (Predeterminado) = C:\WINDOWS\SYSTEM\WEBCHECK.DLL En Windows NT, 2000 y XP: (Predeterminado) = %SystemRoot%\System32\webcheck.dll 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \CLSID \{E6FB5E20-DE35-11CF-9C87-00AA005127ED} \InProcServer32 9. Pinche en la carpeta "InProcServer32" y cambie lo siguiente: (Predeterminado) = c:\windows\system\[al azar].[extensión] Por lo siguiente: En Windows 95, 98 y Me: (Predeterminado) = C:\WINDOWS\SYSTEM\WEBCHECK.DLL En Windows NT, 2000 y XP: (Predeterminado) = %SystemRoot%\System32\webcheck.dll 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Ole 11. En el panel de la derecha, busque la siguiente entrada: EnableDCOM = "N" 12. Edite dicha entrada para que quede así: EnableDCOM = "Y" 13. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 14. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Netsky.F. Propagación masiva vía e-mail _____________________________________________________________ http://www.vsantivirus.com/netsky-f.htm Nombre: W32/Netsky.F Tipo: Gusano de Internet Alias: Netsky.F, Moodown.F, I-Worm.Moodown.f, Win32/Netsky.F, W32/Netsky.f@MM, W32/Netsky.F.worm, WORM_NETSKY.F, W32/Netsky-F, W32/Netsky.d@MM, Win32.Netsky.F Fecha: 3/mar/04 Plataforma: Windows 32-bit Tamaño: 18,432 bytes (PE Pack) Variante de Netsky, reportada el 3 de marzo de 2004. Cuando se ejecuta, el gusano se copia a si mismo en el directorio de Windows: c:\windows\svchost.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). El gusano crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Zone Labs Client Ex = c:\windows\svchost.exe -antivirus service También borra las siguientes entradas en el registro, las que corresponden a otros gusanos: Mydoom.A HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run Taskmon HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run Taskmon Mydoom.B HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run Explorer HKEY_ CURRENT_USER \Software\Microsoft\ Windows\CurrentVersion\Run Explorer Mydoom.A y B HKEY_CLASSES_ROOT\CLSID\ {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32 Mimail.T HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run KasperskyAv HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run KasperskyAv Netsky.A o Netsky.B HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run service Deadhat.B HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run msgsvr32 Bagle.A HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run d3dupdate.exe Bagle.B HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run au.exe Nachi.B, Nachi.C HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services WksPatch Parite.A HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer PINF Bagle.E, F, G y H: HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run rate.exe También borra las siguientes entradas: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run system. HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Runservices System. HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run DELETE ME HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run OLE HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run Sentry HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run Windows Services Host HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run Windows Services Host HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run sysmon.exe El gusano busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom: .adb .asp .bdx .cgi .dhtm .doc .eml .htm .html .msg .oft .php .pl .rtf .sht .shtm .tbb .txt .uin .vbs .wab Cuando detecta una conexión a Internet establecida, el gusano comienza a propagarse a si mismo. Para aumentar su grado de propagación, lanza varios hilos simultáneos de ejecución, en cada uno de los cuáles puede enviar mensajes con las siguientes características: De: [una dirección falsa] Asunto: [uno de los siguientes] Re: Document Re: Re: Document Re: Re: Thanks! Re: Thanks! Re: Your document Re: Here is the document Re: Your picture Re: Re: Message Re: Hi Re: Hello Re: Re: Re: Your document Re: Here Re: Your music Re: Your software Re: Approved Re: Details Re: Excel file Re: Word file Re: My details Re: Your details Re: Your bill Re: Your text Re: Your archive Re: Your letter Re: Your product Re: Your website Texto del mensaje: [uno de los siguientes] Here is the file. Please have a look at the attached file. Please read the attached file. See the attached file for details. Your document is attached. Your file is attached. El mensaje también puede contener texto sin sentido (basura). Datos adjuntos: [seleccionado al azar de la siguiente lista]: all_document.pif application.pif document_4351.pif document_excel.pif document_word.pif message_details.pif mp3music.pif my_details.pif my_details.pif your_archive.pif your_bill.pif your_details.pif your_file.pif your_letter.pif your_picture.pif your_picture.pif your_product.pif your_text.pif your_website.pif yours.pif El gusano evita enviar mensajes a direcciones que contengan cualquiera de las siguientes cadenas: abuse antivi aspersky cafee f-pro f-secur icrosoft itdefender messagelabs orman orton skynet ymantec Posee su propio motor SMTP, y si durante el envío de los mensajes, falla en consultar al servidor de nombres configurado en la conexión actual, entonces lo intenta con servidores DNS localizados en las siguientes direcciones: 194.25.2.129 194.25.2.129 194.25.2.130 194.25.2.131 194.25.2.132 194.25.2.133 194.25.2.134 212.44.160.8 217.5.97.137 145.253.2.171 151.189.13.35 193.141.40.42 213.191.74.19 212.7.128.162 212.7.128.165 195.20.224.234 62.155.255.16 193.193.144.12 193.193.158.10 212.185.253.70 212.185.252.73 193.189.244.205 195.185.185.195 195.185.185.195 212.185.252.136 El gusano crea el mutex (semáforo) "LK[SkyNet.cz]SystemsMutex", para no ejecutarse más de una vez en memoria. Si la fecha es 2 de marzo de 2004, y el gusano se ejecuta entre las 6 y las 9 de la mañana, se emiten por el PC Speaker una serie de sonidos (beeps) en forma continua. El código del gusano contiene el siguiente texto: Skynet AntiVirus - Bagle - you are a looser!!!! * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\svchost.exe IMPORTANTE: No borre C:\WINDOWS\SYSTEM32\SVCHOST.EXE, ya que es un archivo legítimo de Windows. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Zone Labs Client Ex 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1336 Año 8, jueves 4 de marzo de 2004