Mostrando mensaje 412     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1363 Año 8, martes 30 de marzo de 2004 Fecha: Martes, 30 de Marzo, 2004  08:40:13 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1363 Año 8, martes 30 de marzo de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Troj/Spy.Banker.I. Roba información bancaria 2 - Alerta falsa sobre supuesto virus cubano 3 - SpywareBlaster, previene la instalación de parásitos _____________________________________________________________ 1 - Troj/Spy.Banker.I. Roba información bancaria _____________________________________________________________ http://www.vsantivirus.com/troj-spy-banker-i.htm Nombre: Troj/Spy.Banker.I Tipo: Caballo de Troya Alias: Win32/Spy.Banker.i, TrojanSpy.Win32.Banker.i, Banker.I Fecha: 30/mar/04 Plataforma: Windows 32-bit Reportado por: EnciclopediaVirus.com Detectado el 30 de marzo de 2004, este troyano se distribuye en forma de spam, en un mensaje que advierte sobre un error en el Internet Explorer. El mensaje contiene un enlace a una supuesta actualización. El enlace descarga y ejecuta al troyano propiamente dicho. El mensaje contiene el siguiente texto: --------- Good afternoon! Today the mistake in Internet Explorer has been found. If you use with what or payments through the Internet please immediately download updating. Updating can be found on a site devoted to safety of payments http://wsoftware.net/ -------- El enlace lleva a una página PHP que contiene un script, el cuál descarga y ejecuta el siguiente archivo: c:\windows\sv.exe (4336 bytes, comprimido con FSG) A su vez, al ejecutarse SV.EXE, se instala el componente principal del troyano: c:\windows\windl.dll (4608 bytes) Una vez activo, queda comprometida la seguridad de la computadora infectada, así como las transacciones comerciales y bancarias del usuario. [Esta información será ampliada] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Alerta falsa sobre supuesto virus cubano _____________________________________________________________ http://www.vsantivirus.com/hoax-virus-libertad.htm Nombre: Alerta falsa sobre supuesto virus cubano Tipo: SPAM, Falsa alarma de virus Alias: "El Hobbit", "Virus Libertad", "Svchost.exe" Fecha: marzo 2004 Idioma: Español Origen: Desconocido Primer reporte: Colombia, marzo 2004 Se ha estado distribuyendo un nuevo hoax (bulo), sobre la existencia de un peligroso virus de computadora. El bulo combina el alerta sobre un "peligroso" virus, supuestamente creado en Cuba, con referencias políticas sobre el estado cubano. Contiene afirmaciones tan disparatadas como la siguiente: "Los antivirus internacionales aún no han sido actualizados pues consideran que esto es un problema netamente cubano". Un gusano no respeta fronteras, por lo tanto cualquier fabricante de antivirus se apresurará a crear la firma que lo identifique apenas sea detectado. Es ridículo pensar que un antivirus no quiera venderse en todos los países que pueda. Cualquier clase de discriminación de este tipo, iría contra sus intereses, y crearía desconfianza en todos sus usuarios, no solo los residentes en Cuba. Otras afirmaciones son realmente cómicas, como la que informa que una supuesta "empresa de seguridad informática cubana" (no da más datos), "ha dado la vacuna a la CNN". Seguramente Panda, Nod32, Symantec y otros, de ahora en adelante van a empezar a enviar corresponsales de guerra a Irak para informar vía satélite a sus clientes del desarrollo de la contienda... :) El colmo de la paranoia es cuando afirma que "el resto de los medios de prensa extranjeros se han sumado a la negligente actitud de las casas de virus internacionales y no darán publicidad ni alertas hasta que esto no se convierta en un grave problema internacional (con el que poder enjuiciar a Cuba)". Y sería para seguir riéndose de estos disparates, si no fuera porque hay mucha gente crédula, que por ejemplo es capaz de borrar de su computadora un archivo inocente solo porque ALGUIEN se lo dice en un mensaje electrónico (ver "¿Está JDBGMGR.EXE en su computadora?. ¡NO LO BORRE!", http://www.vsantivirus.com/hoax-jdbgmgr.htm). Seguramente estas personas podrían intentar borrar el archivo SVCHOST.EXE, un archivo legítimo de Windows XP, que SIEMPRE va a estar ejecutándose (y más de una vez), en este sistema operativo. Es que el hoax puede confundir al incauto usuario cuando dice que "el virus cuando se activa se instala como un servicio con el nombre de svchost.exe de forma que la única manera de saber si se esta o no infestado con el mismo (si, el original dice INFESTADO en lugar de INFECTADO), es ver si este servicio está ejecutándose". Obviamente en Windows XP, ese archivo estará siempre ejecutándose. Si usted recibe esta falsa alerta, ignórela y borre el mensaje. A continuación se reproduce el texto original (los errores gramaticales no fueron corregidos): --- Comienzo del Hoax --- Alerta!!! Un peligrosísimo virus creado en Cuba ha comenzado a circular por internet. El virus ha sido creado por un supuesto hacker cubano llamado "El Hobbit" Este virus no se autoenvia masivamente como otros sino que infesta los adjuntos de los mensajes que envía la victima afectada, de forma que esta no nota nada raro y quien recibe el mensaje tampoco se da cuenta que esta siendo infestado. Los adjuntos que puede infestar son los compactados (.zip y .rar) y las power point. (este es el único virus hasta el momento capaz de infestar las presentaciones de power point) La gran efectividad de este virus consiste en que los mensajes no despiertan sospechas pues son mensajes reales enviados de fuentes conocidas y confiables y además los adjuntos son ficheros reales que al abrirlos se ejecutan sin levantar sospechas y sin que la victima se de cuenta que esta activando el virus. (Además de que casi todo el mundo cree que las presentaciones de power point son algo inofensivo.) Los antivirus internacionales aún no han sido actualizados pues consideran que esto es un problema netamente cubano. Por lo que lo único que pueden hacer aquellos que tengan antivirus no cubanos es evitar abrir ficheros adjuntos que tengan presentaciones de power point o compactados hasta que se actualicen los antivirus. El virus como tal se llama "Libertad" pues antes de comenzar a borrar toda la información del disco duro muestra un cartel que clama por la libertad de expresión en Cuba. No obstante las casas antivirus lo llaman Worm.32_Libertad El virus cuando se activa se instala como un servicio con el nombre de svchost.exe de forma que la única manera de saber si se esta o no infestado con el mismo es ver si este servicio esta ejecutándose. La empresa de seguridad informática de Cuba ya ha creado una herramienta de desinfección automática que puede ser descargada desde su página oficial pero también ha dado copias de la misma a CNN por lo que puede ser solicitada también a correo@CNNenEspanol.com Con la excepción de CNN el resto de los medios de prensa extranjeros se han sumado a la negligente actitud de las casas de virus internacionales y no darán publicidad ni alertas hasta que esto no se convierta en un grave problema internacional (con el que poder enjuiciar a Cuba). Por eso tenemos que recurrir a los medios alternativos de información para divulgar la verdad y prevenir a todos aquellos que puedan ser afectados. Por favor, ayúdanos a detener este mal antes de que tome proporciones inmanejables y pueda ser utilizado por los enemigos del pueblo de Cuba. Reenvia esta alerta a todas las personas que conozcas (aunque no vivan en Cuba), solo una rápida actuación y una fuerte movilización de la opinión publica pude frenar este mal y sacar a la luz sus verdaderas intenciones. Si quieres participar aún más activamente envía mensajes a los medios de prensa que conozcas exigiendo el derecho a la información que tratan de escamotear. --- Final del Hoax --- Más hoaxes Puede encontrar una lista de las falsas alarmas más comunes, en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm, o puede consultarnos a nuestra dirección e-mail: videosoft@videosoft.net.uy cuando reciba uno de estos mensajes. Otros sitios en español donde siempre podrá encontrar información debidamente investigada y comprobada: http://www.virusattack.com.ar http://www.rompecadenas.com.ar http://www.alertaantivirus.es http://www.enciclopediavirus.com En inglés: http://kumite.com/myths/myths/ http://antivirus.about.com/compute/antivirus/library/blenhoax.htm http://www.f-secure.com/hoaxes/hoax_new.shtml http://www.symantec.com/avcenter/hoax.html http://www.antivirus.com/vinfo/hoaxes/hoax.asp http://vil.nai.com/VIL/hoaxes.asp Agradecimientos: A Sandra Serapio de Bogotá, Colombia, por enviarnos una muestra de este hoax. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - SpywareBlaster, previene la instalación de parásitos _____________________________________________________________ http://www.vsantivirus.com/spywareblaster.htm SpywareBlaster, previene la instalación de parásitos Por Jose Luis Lopez videosoft@videosoft.net.uy NOTA: Este artículo fue publicado originalmente en noviembre de 2002. Esta actualización se refiere a la nueva versión 3.0 del programa SpywareBlaster (marzo 2004). Esta utilidad, totalmente gratuita, no escanea ni limpia su sistema del molesto "spyware" y otros parásitos, hace algo mejor, previene que estos se instalen. Se les llama spyware a aquellos programas que sin avisarle, monitorean las acciones de quienes hacen uso de los productos de una determinada compañía. Varias empresas han utilizado o utilizan todavía algún tipo de software para recoger información sobre los hábitos y las acciones de sus clientes. La mayoría de las veces, esto se hace en forma clandestina y sin dar mayores datos de que tipo de información o que uso se le dará a la misma. Aunque el término más conocido y utilizado es spyware, existen otra clase de programas que entran dentro de la misma categoría, y a los que se les denomina genéricamente como "parásitos". Todos ellos son aplicaciones que se instalan en nuestra computadora, sin nuestro consentimiento, y sin ser solicitadas. Trabajan a través de nuestro navegador, asaltándonos con publicidad no pedida, espiando nuestros hábitos de navegación, y comprometiendo la seguridad y estabilidad de nuestro sistema. Muchas veces, también modifican el contenido y los enlaces al visitar otras páginas web. SpywareBlaster impide que la mayoría de estos parásitos se instalen en nuestro sistema. Funciona habilitando el llamado "kill bit" en los identificadores de clase del registro (CLSIDs), relacionados con los controles ActiveX que dichos programas deben instalar para cumplir con su cometido. Estos controles se activan al visitar una página o instalar un software que habilite el spyware. Con la acción de este programa, se puede navegar sin que aparezcan las ventanas para instalar muchos de estos molestos programas (la mayoría de las veces son opciones en inglés que aparecen al visitar un sitio, y que por descuido o por no entender el idioma, aceptamos dando un doble clic). Como resultado cosas como un molesto gorila azul --¿quién no lo conoce?-- se adueñan de nuestro PC, o nos obligan a visitar determinados sitios al hacer cualquier clase de búsqueda en Internet. * Sobre SpywareBlaster SpywareBlaster previene la instalación de spyware basado en ActiveX, dialers, adwares y otras clases de parásitos, en el Internet Explorer. Esto funciona en todos los Windows y con todas las versiones de Internet Explorer. Una segunda línea de protección se agrega para usuarios de Internet Explorer 6 o superior, y previene el uso malicioso de las cookies que algunos sitios hacen para recoger información privada, etc. Esta opción no está habilitada para usuarios con versiones anteriores del IE. Desde la versión 3.0, los usuarios de Mozilla 1.6 o Firefox 0.8 (y superiores), pueden activar una protección que previene el uso malicioso de las cookies. Si no utiliza estos navegadores, esta opción no está habilitada. La opción "Restricted Sites Protection" simplemente agrega a la zona de "Sitios restringidos" del Internet Explorer, una lista de sitios que descargan e instalan spywares, adwares, dialers, y otra clase de parásitos, o controles ActiveX potencialmente peligrosos. También están en esa lista aquellos que intentan explotar alguna vulnerabilidad para propósitos potencialmente peligrosos. El programa no queda residente. Luego de establecer las protecciones modificando el registro, puede quitarse y las protecciones establecidas seguirán estando activas. SpywareBlaster solo afecta los controles ActiveX usados por estos programas maliciosos, los demás controles no son alterados. La base de datos de parásitos es actualizada regularmente, y solo hace falta conectarse a Internet para tenerla al día. Por otra parte, si usted ya tiene algún parásito funcionando en su PC (y tal vez lo ignora), habilitar el "kill bit" hace que la mayoría de estos programas espías dejen de funcionar (de cualquier modo se sugiere realizar una limpieza con el software apropiado, como se explica en los artículos de las referencias). * Sobre el "kill bit" Por cada control ActiveX existe un único identificador de clase llamado CLSID. En el registro de Windows, si vemos la sección "HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Internet Explorer\ ActiveX Compatibility", nos encontramos con varios identificadores CLSID de ActiveX que están representados por un código extremadamente largo de letras y números entre corchetes, por ejemplo: {00000000-5eb9-11d5-9d45- 009027c14662}. En cada clave existe un valor llamado "Compatibility Flags". Cuando este valor es equivalente a "1024", se evita que ese control se instale o ejecute (no saldrán ventanas con opciones ni habrá que preocuparse más de que se nos instale el software relacionado al visitar una página, etc.). SpywareBlaster simplemente crea el registro correspondiente a cada spyware conocido (la base de datos se mantiene al día regularmente), y pone el valor 1024 a la entrada "Compatibility Flags". De ese modo, cuando el verdadero programa quiera instalarse ni siquiera podrá intentarlo. Esto protege nuestra computadora muy eficientemente. Al día de hoy, existen miles de estos controles que son reconocidos y configurados con el "kill bit" activo por SpywareBlaster. Y si por algún motivo, quisiéramos deshabilitar esta protección (para todos o para cualquiera en forma individual), el programa permite marcar y desmarcar la opción que crea o quita el "kill bit" de cualquiera de los identificadores seleccionados. * Instalación y configuración Para instalar el programa, siga estos pasos: 1. Descargue la última versión del programa. 2. Cierre todos los programas y ejecute el archivo descargado con un doble clic sobre él. 3. Luego de la instalación (siga los pasos normales para instalar cualquier programa), una ventana como la siguiente le será mostrada al abrir el programa: [ver imagen en http://www.vsantivirus.com/spywareblaster.htm] 4. En "Quick Tasks", seleccione el enlace "Enable All Protection". 5. Conectado a Internet, también en "Quick Tasks", pinche en el enlace "Download Latest Protection Updates" y luego en "Check for Updates". Aparecerán las actualizaciones disponibles. Para finalizar, repita el paso 4 para habilitar todas las protecciones. Si por alguna extraña razón deseara deshabilitar alguna de las protecciones, simplemente ejecute de nuevo el programa, desmarque las casillas de aquellas que desea volver a activar y pinche en "Remove Protection for Unchecked Items" (las protecciones desmarcadas serán sacadas de la lista). Es recomendable ejecutar el programa regularmente para seleccionar la opción "Check for Updates" a los efectos de descargar e instalar las actualizaciones del programa. Este software es gratuito, pero el autor acepta donaciones para mantener su trabajo. En los enlaces al final del artículo podrá visitar su página. NOTA: La versión 3.0 agrega una opción de actualización automática. Dicha opción, por razones del costo de ancho de banda requerido, no es gratuita. Si usted desea activar esa facilidad, por un costo mínimo (9,95 dólares por año), debe ponerse en contacto con el autor del programa. * Referencias: Sitio oficial http://www.javacoolsoftware.com/spywareblaster.html Descarga de la última versión (SpywareBlaster v3.0, 28/mar/04), tamaño: 2.1 Mb. Aprox. Siga los enlaces de nuestra página: http://www.vsantivirus.com/spywareblaster.htm Nota: Para actualizar las versiones, simplemente ejecute el archivo más nuevo descargado del sitio del programa. * Actualizaciones: Conectado a Internet, ejecute SpywareBlaster y en "Quick Tasks", seleccione el enlace "Enable All Protection" y luego pinche en "Check for Updates". Aparecerán las actualizaciones disponibles. * Información sobre Spyware: Parásitos en nuestra computadora http://www.vsantivirus.com/ev-parasitos.htm El problema del Spyware http://www.vsantivirus.com/mr-spyware.htm SPYWARE (software espía) y ADWARE (publicidad no deseada) http://www.vsantivirus.com/jm-spyware.htm Guía rápida para el blindaje de su PC http://www.vsantivirus.com/mr-blindaje.htm NEWSUPD.EXE ¿Un Spyware de Creative en nuestro PC? http://www.vsantivirus.com/newsupd.htm Media Player es un spyware http://www.vsantivirus.com/21-02-02b.htm D.I.R.T. El Spyware desenmascarado en la red http://www.vsantivirus.com/dirt.htm Morpheus y el misterioso RDXR020305.DAT en el escritorio http://www.vsantivirus.com/rdxr020305.htm Cortafuegos personales, ¿solo son basura? http://www.vsantivirus.com/08-12-00.htm DlDer, un espía en casa http://www.vsantivirus.com/06-01-02b.htm DSSAgent. Un adware que puede provocar fallas en Windows http://www.vsantivirus.com/dssagent.htm Varios programas de uso gratuito, instalan troyano DlDer http://www.vsantivirus.com/01-01-02.htm * Más información (en inglés): http://and.doxdesk.com/parasite/ http://www.spywareinfo.com * Modificaciones: 16/12/02 - Descripción e imágenes para versión 2.0 19/12/02 - Descripción e imágenes para versión 2.0.1 24/01/03 - Versión 2.0.2 10/03/03 - Versión 2.5.1 12/03/03 - Versión 2.5.2 27/06/03 - Versión 2.6.0 11/09/03 - Versión 2.6.1 30/03/04 - Versión 3.0 (Nueva descripción e imágenes) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1363 Año 8, martes 30 de marzo de 2004