Mostrando mensaje 388     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1339 Año 8, domingo 7 de marzo de 2004 Fecha: Domingo, 7 de Marzo, 2004  06:03:04 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1339 Año 8, domingo 7 de marzo de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Hoax: Virus en telefonía móvil 2 - Hoax: Ayuda a Cleto 3 - Troj/Down.Donn.A. Descarga y ejecuta un archivo 4 - Troj/Down.Donn.D. Descarga y ejecuta un archivo _____________________________________________________________ 1 - Hoax: Virus en telefonía móvil _____________________________________________________________ http://www.vsantivirus.com/cell-phone.htm Nombre: Virus en telefonía móvil Tipo: SPAM, Falsa alarma de virus Alias: Virus vía móvil Alias: Cell Phone Virus Alias: UNAVAILABLE Fecha: 2000/2004 Idioma: Inglés y español Origen: Desconocido En junio de 2000, publicábamos la primera información sobre este HOAX. El bulo se aprovechaba de la mucha desinformación provocada por un virus real surgido en aquel momento, llamado VBS/Timofonica. Aunque dicho virus tenía la posibilidad de enviar mensajes a los usuarios de teléfonos móviles, la información de este hoax es totalmente falsa. Recientemente, en enero y febrero de 2004, dicho bulo ha comenzado a circular nuevamente, con algunas variantes (entre ellas, que el término original UNAVAILABLE --no disponible--, ha sido traducido como INVIABLE). Además, agrega información sobre presuntas formas de estafa con las llamadas de un celular. Todo ello es falso. Un mensaje del tipo "Unavailable" (o el que figure de acuerdo al idioma utilizado), es totalmente normal en un teléfono celular, y se refiere a la imposibilidad de mostrar la identificación de una llamada, pero de ningún modo debe tomarse como un mal funcionamiento del equipo, y mucho menos como un virus, algo por el momento imposible en este tipo de aparatos. Estas son las versiones conocidas de este HOAX: --- Mensaje original (2000) --- Dear All We have been sent this warning from someone at work - you might find it useful! If you receive a phone call and your phone displays !!?UNAVAILABLE!? on the screen (for most of digital mobile phones with a function to display in-coming call telephone number), DON'T ANSWER THE CALL. END THE CALL IMMEDIATELY!! !!?UNAVAILABLE!? IF YOU ANSWER THE CALL, YOUR PHONE WILL BE INFECTED BY THIS VIRUS. This virus will erase all IMIE and IMSI information from both your phone and your SIM card which will make your phone unable to connect with the telephone network. You will have to buy a new phone. This information has been confirmed by both Motorola and Nokia. There are over 3 million mobile phone being infected by this virus in USA now. You can also check this news in CNN web site. Please forward this information to all your friends who have digital mobile phones. --- Primera versión en español (2000) --- Estimados Todos He recibido esta advertencia de alguien en el trabajo, y pienso que podría ser importante! Si usted recibe una llamada telefónica y su teléfono despliega en su pantalla !!?UNAVAILABLE!? (para la mayoría de los teléfonos móviles digitales que disponen de la función para desplegar el número telefónico que llama), NO CONTESTE LA LLAMADA. TERMINE LA LLAMADA INMEDIATAMENTE!!!! ?UNAVAILABLE!? SI USTED CONTESTA LA LLAMADA, SU TELÉFONO SERA INFECTADO POR ESTE VIRUS. Este virus borrará todo la información IMIE e IMSI de su teléfono y su tarjeta SIM que harán que su teléfono sea incapaz de conectar con la red telefónica. Usted tendrá que comprar un nuevo teléfono. Esta información ha sido confirmada por Motorola y Nokia. Hay más de 3 millones de teléfonos móviles infectados por este virus en EE.UU. actualmente. Usted también puede verificar esto en el sitio de la CNN. Por favor remítales esta información a todos sus amigos que tengan teléfonos móviles digitales. --- Nueva versión en español (2004) --- LEED CON ATENCIÓN, ES IMPORTANTE VÍA TELÉFONO MÓVIL Por sí no nos bastaba con los Virus Informáticos, ahora, la última moda son los virus vía móvil. Espero que esta noticia os ayude a prevenirlos. ALERTA UTILIZACIÓN MÓVILES de interés para todos los usuarios de móviles. El último fraude en telefonía móvil ya esta en la calle. Se trata de un fraude que puede perjudicar seriamente nuestro bolsillo. El hecho ya se ha confirmado por las propias compañías de telefonía móvil, como AMENA, MOVISTAR y VODAFONE. Los consejos que se dan a continuación evitarán que seamos las víctimas propiciatorias de esta actividad fraudulenta: 1º.- Sí recibe una llamada al móvil, y en la pantalla aparece INVIABLE con DOS signos de exclamación ("!!"): NO DESCUELGUES EL TELÉFONO, NI INTENTES RENUNCIAR A LA LLAMADA. Déjalo sonar hasta que pare, y después borra directamente la llamada perdida. Se trata de un virus muy potente que destruye por completo el mecanismo del teléfono: cuando esto pasa es imposible arreglarlo o tratar de encontrar una solución al problema. 2º.- Sí recibe en tu móvil un mensaje diciendo que llame al (11) 41455414: NO LO HAGAS NI EN BROMA. Sí caes en la trampa hará que el gasto de tu cuenta o tarjeta se multiplique hasta el infinito. 3º.- Si te llaman al móvil y te dicen que se trata de un proveedor y a continuación, te piden que marques un número (del 0 al 90) para comprobar que el funcionamiento del aparato es correcto NO LO HAGAS Y CUELGA ENSEGUIDA. Con este método se accede al código de tu tarjeta SIM (el alma de tu teléfono), pudiendo cancelarla y crear una nueva. 4º.- Sí recibes un mensaje en tu móvil diciéndote que tienes una transacción y que tienes que llamar al 1749, BORRALO DIRECTAMENTE. Sí llamas, tu tarjeta SIM se duplicará y desde este momento podrían llamar desde tu número. Naturalmente a tu cargo. Este tipo de estafa se está produciendo a gran escala, por el que se ruega que esta información se haga extensiva a cualquier persona que conozcas y que sea usuario de un teléfono móvil. --- Fin de los mensajes --- Existe una larga lista de mensajes que en realidad se tratan de bromas o engaños, conocidos en la red como "hoaxes" o "bulos", y que circulan a través del correo electrónico, advirtiendo sobre "virus" inexistentes. Su común denominador, es pedirnos que se los reenviemos a todos nuestros conocidos. ¡Jamás lo haga!. No solo terminará saturando muchas casillas de correo, sino que estará divulgando su dirección de correo, y las de sus amigos, a los spammers, los inescrupulosos generadores de correo basura. Más allá de lo que estas falsas alarmas le adviertan, tenga en cuenta que aunque en el momento actual tal virus no exista, nada impide que en el futuro aparezca uno, o que un archivo infectado sea renombrado con el mismo nombre del HOAX. Para reducir la cantidad de mensajes de este tipo que se propagan a través de la red, y para evitar molestar a otras personas, no reenvíe jamás estos mensajes, y no propague estas advertencias, y mucho menos las crea, a menos que usted haya verificado su exactitud con alguna fuente seria y responsable. * Regla de tres simple para NO enviar correo basura Cuando esté a punto de enviar un mensaje, hágase estas tres preguntas: 1. ¿Escribió alguien más este mensaje? 2. ¿Está enviándolo a una lista larga de personas? 3. ¿Es un chiste, advertencia de cualquier clase que le llegó por correo, llamada de atención, poesía?. ¡Si la respuesta es SI a cualquiera de ellas, NO lo envíe! * Más hoaxes Puede encontrar una lista de las falsas alarmas más comunes, en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm, o puede consultarnos a nuestra dirección e-mail: videosoft@videosoft.net.uy cuando reciba uno de estos mensajes. Otros sitios en español donde siempre podrá encontrar información debidamente investigada y comprobada: http://www.virusattack.com.ar http://www.rompecadenas.com.ar http://www.alertaantivirus.es http://www.enciclopediavirus.com En inglés: http://kumite.com/myths/myths/ http://antivirus.about.com/compute/antivirus/library/blenhoax.htm http://www.f-secure.com/hoaxes/hoax_new.shtml http://www.symantec.com/avcenter/hoax.html http://www.antivirus.com/vinfo/hoaxes/hoax.asp http://vil.nai.com/VIL/hoaxes.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Hoax: Ayuda a Cleto _____________________________________________________________ http://www.vsantivirus.com/hoax-cleto.htm Hoax: "Ayuda a Cleto" En marzo de 2002, se hacía referencia en Rompecadenas.com.ar, al siguiente HOAX. Cómo recientemente hemos recibido nuevos reportes que indican que este mensaje está nuevamente en circulación (marzo de 2004), publicamos en VSAntivirus dicho artículo original. Hoax "Ayuda a Cleto" (*) por Antonio Vallejos Huerta listacatalogo@yahoo.com.ar El mensaje, se refiere a un pedido de ayuda para Cleto, un supuesto niño de cinco años de Bogotá (Colombia), que padece una enfermedad deformante, llamada "Elefantiasis Cumerdi". En dicho mensaje se adjunta la foto de un niño gravemente deformado en parte de sus orejas y en casi todo el cuerpo del cuello para abajo. --- Comienzo del mensaje --- AYUDA A CLETO ! Cleto es un niño de Bogotá Colombia, cuenta con cinco años de edad y desde los dos años sufre de una rara enfermedad llamada elefantiasis cumerdi, lo mismo que en sus brazos debido a la gran desnutrición ha sufrido una severa malformación de sus huesos. Te pedimos de todo corazón tu ayuda, como? reenviando este e- mail a cuantos corresponsales tengas en tu libreta de direcciones, por cada e-mail que se reenvíe, Cleto recibirá una cantidad de dinero la cual se destinará a ayudarlo en su recuperación y terapias. cleto97@baracobauta.com DE PASO AGREGO QUE TENEMOS QUE AGRADECERLE A DIOS DE ESTAR SANOS... HAY GENTE QUE ESTA MUCHO PEOR QUE UNO... --- Final del mensaje --- Mucha gente se conmueve al ver la foto por las terribles deformaciones que tiene el niño, a otros les resulta divertido y la reenvían por morbo. En mi investigación he encontrado la misma foto en rotten.com. Al parecer esa foto llegó a rotten después, ya que la imagen publicada en dicho servidor de imágenes de morbo y terror tiene en el pie de la misma la dirección de rotten, lo que no tiene la foto original adjunta al mensaje. Esto nos da la pauta de que dicha imagen está circulando hace ya algún tiempo por internet y su llegada a rotten fue después de su aparición en la red. Antes de entrar de lleno en el análisis del hoax veamos brevemente qué es la elefantiasis: "La elefantiasis corresponde al agrandamiento exagerado de varias partes del cuerpo, aunque generalmente se refiere a los miembros inferiores. La elefantiasis es el resultado final de una variedad de enfermedades obstructivas del sistema linfático. Es debido a la obstrucción permanente de los linfáticos principales, lo cual genera agrandamiento progresivo, aspereza, arrugas y fisuras de la piel y los tejidos subcutáneos adyacentes. Las excrecencias superficiales verrugosas proliferan en las piernas y otros órganos, recordando los de un elefante, por lo cual se aplica tal denominación. Esta condición puede hallarse en brazos, escroto, vulva y mamas. Las orejas, áreas periorbitarias, mucosa oral, muñones de amputación y áreas paniculares raramente están involucradas. El término es aplicado de acuerdo a su causa o al sitio involucrado. [El tipo más común de elefantiasis, la elefantiasis filariana] ...es endémica en muchos países tropicales y subtropicales de África y América Central y del Sur (56% de la población mundial). La población de riesgo directo es de 905 millones y actualmente hay 70 millones infectadas. El grueso agrandamiento de escroto, mamas o piernas es la excepción en lugar de la regla. La elefantiasis probablemente no se desarrolle en más de 10% de la población infectada. Están especialmente propensos quienes tienen malformaciones linfáticas. Las larvas infectivas son transmitidas al hombre a través de picaduras de mosquitos infectados. Más frecuente entre las edades de 25 a 40 años; el clima, malos sistemas de drenaje, incremento en la urbanización e industrialización sin adecuada disposición de excretas influyen en su incidencia." Fuente: http://www.reinaldogodoyeditor.com/subpaginas/elefantiasis.htm Analicemos ahora el mensaje y las acciones seguidas para demostrar que se trata de un hoax: 1. Se envió un mail a la dirección indicada en el mensaje. El mismo fue devuelto por servidor inexistente. 2. De las páginas médicas y científicas consultadas surge que la elefantiasis existe pero NO hay ninguna clasificación que contemple el género Elefantiasis "Cumerdi" como se dice en el mensaje. La palabra "Cumerdi" tampoco la encontramos al ponerla en distintos buscadores de Internet. 3. Analicé la foto adjunta al mensaje con el programa Adobe Photoshop, para intentar descubrir puntos de retoque (capas). No encontré ninguno. Traté de simularlos y tampoco aparecieron dichas capas o puntos de retoque, clásicos en las imágenes "superpuestas" o "retocadas". Aún basándose en que la fotografía es de baja calidad y suponiendo que hayan puesto otra cabeza en el cuerpo que aparece en la fotografía del chico enfermo, ese cuerpo es real y no un disfraz. Además la textura de la piel es la misma que la del resto del cuerpo, variando solamente en los puntos en los que aparecen manchas, las cuales son típicas en el cuadro de dicha enfermedad. No hay muestras de superposición de imágenes. También la reinvertí con programas de morphing (Kays Power Goo, uno de ellos) y obtuve el mismo resultado. Por otro lado, la sombra que proyecta el niño coincide perfectamente con la imagen de la persona. Aquí tampoco hay retoque. La iluminación es de izquierda a derecha (desde el punto de vista del observador) y las proporciones que guarda la imagen con la sombra encajan perfectamente. De todo lo aquí expuesto, puedo deducir que: a. Esa enfermedad existe, pero NO la variante "Cumerdi". Tampoco ataca a los huesos y NO es contraída por desnutrición. Si ésta fuese la causa, más de la mitad del planeta sufriría de elefantiasis. b. Ese chico muy probablemente exista (siendo un caso especial, es muy probable que hayan mas fotos de la misma serie y con el mismo individuo, a pesar de que aun no he podido encontrarlas, en eso estoy ahora); c. Un detalle: la elefantiasis también afecta al pene, y en la foto el pene del niño está tapado por un círculo, una pequeña señal de que es una imagen que originalmente no ha querido ser morbosa, sino solamente mostrar a un chico que sufre de dicha enfermedad (que luego fue desvirtuada por el morbo de los de rotten y del que inventó este hoax). d. El nombre que le han puesto al chico, "Cleto" (diminutivo de Anacleto) sin más detalles, nos demuestra que es un hoax ya que ni siquiera han puesto un apellido, dirección, teléfono como para poder comprobarlo. Por si fuera poco, la dirección de mail indicada en el mensaje es falsa. e. También nos dicen que "Cleto" es un niño de Bogotá, Colombia. He revisado innumerables páginas de internet de Colombia en las que podría aparecer algo relacionado a algún chico que padeciera dicha enfermedad, bases de datos médicas, sitios, consultas en listas de Colombia, incluso consulté con amigos colombianos y sencillamente NADIE ha oído hablar acerca de algún caso parecido al de la foto, menos con ese nombre. Cierto es que hay casos de elefantiasis en Colombia como en el resto del mundo, pero no he encontrado ni siquiera una mínima referencia a este caso o a esta foto. f. Volviendo al tema del texto del mensaje, este nos pide que reenviemos el mismo con la foto y nos asegura que por cada mail que se reenvíe "Cleto" recibirá una determinada cantidad de dinero para su tratamiento. En dicho texto no se especifica quién donará dicha cantidad, ni a cuánto ascenderá la misma. Por otro lado, ya hemos visto en la sección Hoaxes de Rompecadenas, que NO hay una sola empresa, fundación o lo que sea que pague un solo centavo por reenviar mensajes. g. La misma carta nos habla de que con ese dinero "Cleto" será ayudado en su tratamiento... pero no especifica por quién ni en qué hospital, ni de qué tipo de terapias se trata. h. Por último, el mensaje termina con el clásico: "TENEMOS QUE AGRADECERLE A DIOS DE ESTAR SANOS". Una muy bonita forma de intentar conmovernos, un recurso típico de los hoaxes "sentimentales", que involucran a niños o animales. En resumidas cuentas: ESTE ES UN HOAX Y NO DEBE SER REENVIADO... porque en vez de mostrar una realidad, nos muestra un caso que puede ser verídico pero que su reenvío no ayudará en nada al verdadero damnificado y solamente alborotará la tranquilidad de los que sean susceptibles a ver semejantes imágenes. Por ello, hemos decidido no publicar la foto del niño ya que sería entrar en el juego morboso de quien inventó este hoax. Más información acerca de la Elefantiasis: (algunas imágenes pueden herir la sensibilidad de las personas) http://www.reinaldogodoyeditor.com/subpaginas/elefantiasis.htm http://cisat.isciii.es/er/prg/er_bus2.asp?cod_enf=1031 http://www.up.ac.pa/medicina/interactiva/cuantosabe/anteriores/08r.htm http://www.fundacionsnieto.com/l1.htm http://users.servicios.retecal.es/fmuri/charla/palabros/Elefan.htm * Notas relacionadas: Entre el morbo y la denuncia http://www.rompecadenas.com.ar/morbo.htm Cómo reconocer una verdadera cadena de solidaridad http://www.rompecadenas.com.ar/cadena.htm (*) Este artículo, original de Rompecadenas http://www.rompecadenas.com.ar, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse a info@rompecadenas.com.ar Artículo publicado originalmente el 31 de marzo de 2002 http://www.rompecadenas.com.ar/cleto.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Down.Donn.A. Descarga y ejecuta un archivo _____________________________________________________________ http://www.vsantivirus.com/down-donn-a.htm Nombre: Troj/Down.Donn.A Tipo: Caballo de Troya Alias: Donn.A, Downloader-DS, TROJ_MUSS.A, TrojanDownloader.Win32.Donn.j, Win32.Donn.A!Downloader, Win32/WDonn.Downloader.Trojan, Win32.Donn.A Fecha: 2/mar/04 Plataforma: Windows 32-bit Tamaño: 7,168 bytes (Aspack) Se trata de un troyano del tipo Downloader (puede descargar y ejecutar otro malware). Cuando se ejecuta, el troyano borra el archivo HOSTS, y lo suplanta por uno propio. HOSTS (sin extensión alguna), es usado por Windows para asociar nombres de dominio con direcciones IP. Si este archivo existe en c:\windows\ (Windows 95, 98 y Me), o en \system32\drivers\etc\ (Windows NT, 2000 y XP), el sistema lo examina antes de hacer una consulta a un servidor DNS. El archivo creado por el troyano, solo contiene la siguiente línea: 127.0.0.1 localhost De todos modos, esta línea es normal en la configuración por defecto de HOSTS, por lo que se deduce que el troyano intenta borrar solo alguna posible personalización de dicho archivo. Una vez activo, el troyano intenta descargar y ejecutar un archivo desde un determinado sitio. El archivo es copiado en la siguiente ubicación: c:\windows\system\sys.exe NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). Actualmente dicho archivo solo agrega publicidad no deseada (adware). * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Down.Donn.D. Descarga y ejecuta un archivo _____________________________________________________________ http://www.vsantivirus.com/down-donn-d.htm Nombre: Troj/Down.Donn.A Tipo: Caballo de Troya Alias: Win32.Donn.D, Downloader-DS, TROJ_MUSS.A, TrojanDownloader.Win32.Donn.r, Win32.Donn.D!downloader, Win32/WDonn.Downloader.Trojan. Fecha: 2/mar/04 Plataforma: Windows 32-bit Tamaño: 7,168 bytes (Aspack) Se trata de un troyano del tipo Downloader (puede descargar y ejecutar otro malware). Idéntico a la variante "A", la única diferencia es la dirección a la que se conecta para realizar su descarga de código, probablemente malicioso. Cuando se ejecuta, el troyano borra el archivo HOSTS, y lo suplanta por uno propio. HOSTS (sin extensión alguna), es usado por Windows para asociar nombres de dominio con direcciones IP. Si este archivo existe en c:\windows\ (Windows 95, 98 y Me), o en \system32\drivers\etc\ (Windows NT, 2000 y XP), el sistema lo examina antes de hacer una consulta a un servidor DNS. El archivo creado por el troyano, solo contiene la siguiente línea: 127.0.0.1 localhost De todos modos, esta línea es normal en la configuración por defecto de HOSTS, por lo que se deduce que el troyano intenta borrar solo alguna posible personalización de dicho archivo. Una vez activo, el troyano intenta descargar y ejecutar un archivo desde un determinado sitio. El archivo es copiado en la siguiente ubicación: c:\windows\system\sys.exe NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). Actualmente dicho archivo solo agrega publicidad no deseada (adware). * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1339 Año 8, domingo 7 de marzo de 2004