| Asunto: | VSantivirus No. 1360 Año 8, sábado 27 de marzo de 2004 | | Fecha: | Sabado, 27 de Marzo, 2004 08:44:56 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1360 Año 8, sábado 27 de marzo de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Nuevas actualizaciones y parches para Office
2 - Troj/Timese.AG. Muestra fecha y hora en cada ventana
3 - Troj/Timese.C. Muestra fecha y hora en cada ventana
4 - W95/CIH.damaged. Una infección corrupta del CIH
_____________________________________________________________
1 - Nuevas actualizaciones y parches para Office
_____________________________________________________________
http://www.vsantivirus.com/dt27-03-04.htm
Nuevas actualizaciones y parches para Office
Fuente: diarioti.com (*)
http://www.diarioti.com/
Microsoft ofrece para descarga inmediata algunas importantes
actualizaciones de su paquete ofimático Office, que además de
mejorar el software eliminan algunas vulnerabilidades
detectadas recientemente.
Las tres nuevas actualizaciones eliminan una vulnerabilidad
grave en Excel 2003, junto con mejorar el filtro anti-spam de
Outlook XP. Las actualizaciones pueden ser descargadas desde
el sitio web de Microsoft o mediante la función de
actualización automática de Office.
La actualización mensual del filtro anti-spam de Outlook
contiene nuevas definiciones sobre qué mensajes o remitentes
pueden ser considerados spam.
Microsoft también ha publicado una actualización
administrativa del filtro anti-spam, que facilita las labores
de los administradores de sistemas.
La última actualización de Microsoft Script Editor en Office
XP también brinda mayor seguridad y estabilidad, a la vez que
hace posible que los usuarios con derechos de administrador
usen el debugger.
Más información:
http://office.microsoft.com/OfficeUpdate
(*) Este artículo fue publicado originalmente en DiarioTI, y
se reproduce en VSAntivirus respetando las condiciones
legales exigidas por dicha publicación:
http://www.diarioti.com/gate/legal.php
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Troj/Timese.AG. Muestra fecha y hora en cada ventana
_____________________________________________________________
http://www.vsantivirus.com/troj-timese-c.htm
Nombre: Troj/Timese.AG
Tipo: Caballo de Troya
Alias: Timese.AG, Troj/Timese.AG, W32.Timese.AG
Plataforma: Windows 32-bit
Tamaño: 52,224 bytes (ASPack)
Fecha: 27/mar/04
Caballo de Troya escrito en Visual Basic y comprimido con la
herramienta ASPack. Cuando se ejecuta, queda residente en
memoria, y agrega en el título de cada ventana activa, un
reloj con la fecha y hora en el formato "MES/DIA/AÑO
Hora:Minutos":
1/3/2004 16:08
Se copia en las siguientes ubicaciones:
c:\windows\timer.exe
c:\timer.exe
a:\timer.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
También crea la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Timer = c:\windows\timer.exe
Examina cada cierto tiempo la presencia de algún disquete
desprotegido, para copiarse en la unidad A.
Aunque no posee un mecanismo de propagación, debemos
considerar que el mismo podría ser enviado en forma
premeditada o accidental, por correo electrónico, o
descargado de sitios maliciosos, o a través de redes P2P.
* Reparación manual
Para eliminar manualmente este troyano de un sistema
infectado, siga estos pasos:
1. Detenga el proceso del virus en memoria:
a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.
2. En ambos casos, en la lista de tareas, señale las
siguientes:
Timer
Timer.exe
3. Seleccione el botón de finalizar tarea.
En Windows NT/2000 o XP, deberá seleccionar esta última
opción en la lengüeta Procesos.
4. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:
Timer
7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Antivirus
Para la limpieza de este troyano, actualice sus antivirus con
las últimas definiciones, y ejecútelos en modo escaneo,
revisando todos sus discos y disquetes. Luego borre los
archivos detectados como infectados.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\timer.exe
c:\timer.exe
También bórrelo en cada disquete que haya sido utilizado con
el troyano activo:
a:\timer.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Troj/Timese.C. Muestra fecha y hora en cada ventana
_____________________________________________________________
http://www.vsantivirus.com/troj-timese-c.htm
Nombre: Troj/Timese.C
Tipo: Caballo de Troya
Alias: Timese.C, W32/Timese.C, TROJ_TIMESE.C,
W32.HLLW.Timese.c, Trojan.W32/Timesec.C
Plataforma: Windows 32-bit
Tamaño: 153,600 bytes, 48,640 bytes (UPX)
Caballo de Troya escrito en Visual Basic y comprimido con la
herramienta UPX. Cuando se ejecuta, queda residente en
memoria, y agrega en el título de cada ventana activa, un
reloj con la fecha y hora en el formato "MES/DIA/AÑO
Hora:Minutos":
1/3/2004 16:08
Se copia en las siguientes ubicaciones:
c:\windows\timer.exe
c:\timer.exe
a:\timer.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
También crea la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Timer = c:\windows\timer.exe
Examina cada cierto tiempo la presencia de algún disquete
desprotegido, para copiarse en la unidad A.
Aunque no posee un mecanismo de propagación, debemos
considerar que el mismo podría ser enviado en forma
premeditada o accidental, por correo electrónico, o
descargado de sitios maliciosos, o a través de redes P2P.
* Reparación manual
Para eliminar manualmente este troyano de un sistema
infectado, siga estos pasos:
1. Detenga el proceso del virus en memoria:
a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.
2. En ambos casos, en la lista de tareas, señale las
siguientes:
Timer
Timer.exe
3. Seleccione el botón de finalizar tarea.
En Windows NT/2000 o XP, deberá seleccionar esta última
opción en la lengüeta Procesos.
4. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:
Timer
7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Antivirus
Para la limpieza de este troyano, actualice sus antivirus con
las últimas definiciones, y ejecútelos en modo escaneo,
revisando todos sus discos y disquetes. Luego borre los
archivos detectados como infectados.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\timer.exe
c:\timer.exe
También bórrelo en cada disquete que haya sido utilizado con
el troyano activo:
a:\timer.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W95/CIH.damaged. Una infección corrupta del CIH
_____________________________________________________________
http://www.vsantivirus.com/cih-damaged.htm
Nombre: W95/CIH.damaged
Tipo: Virus
Alias: W95.CIH.damaged
Variante: W95.CIH.corrupt, Win95.CIH.corrupted
Fecha: 28/jun/98
Agregado: 27/mar/04
Este tipo de infección no es nuevo, pero es agregado a
nuestra lista por recientes reportes recibidos.
El CIH es un peligroso virus que infecta archivos ejecutables
de 32-bit. Cuando un programa infectado se ejecuta, el virus
infectará la memoria de la computadora. CIH infecta entonces
nuevos archivos cuando ellos sean abiertos.
Este virus intentará modificar o adulterar ciertos tipos de
FLASH BIOS, el software que inicializa y maneja las
configuraciones de los dispositivos del sistema, incluso la
unidad de disco duro, los puertos serie y paralelo y el
teclado. Borrando parte del programa del BIOS, el virus puede
impedir que una computadora se pueda iniciar correctamente.
En ocasiones se produce un tipo de infección que termina con
el archivo original corrupto o dañado, y que por lo tanto, la
mayoría de las veces no se puede ejecutar (ni el programa ni
el virus propiamente dicho).
Si un archivo es detectado como infectado por esta variante
del CIH, generalmente dicho archivo no puede ser reparado. La
solución es borrarlo y reemplazarlo por un respaldo desde una
copia limpia. En el caso de tratarse de un programa, se
recomienda su reinstalación.
Este tipo de infección se produce generalmente, debido a un
método utilizado por muchos programas, para disminuir los
tiempos de carga. Este método utiliza una tabla de funciones
en la estructura de los archivos en formato PE (Windows
Portable Executable), que es conocida como "Bound Imports
Table" (BIT). La tabla es construida generalmente por el
sistema, cuando un programa es instalado o actualizado.
Si el programa es infectado por el virus CIH después de haber
sido instalado o actualizado, y de que se ha creado la tabla
BIT, entonces el mismo podría funcionar normalmente, aunque
se notaría en algunos sistemas, una notoria demora en el
tiempo de su carga en memoria al ser ejecutado.
Si el sistema ya está infectado por el CIH cuando el programa
es instalado o actualizado, el virus interferirá con el
proceso de tal modo que puede dejarlo inutilizable.
Esto ocurre porque con el método mencionado antes, el
programa es creado o actualizado en etapas. En cada etapa, se
modifican diferentes partes del código, y por lo tanto se
limpia la infección previa del CIH, el cuál detecta al
archivo como limpio y vuelve a infectarlo.
Debido a la forma en que actúa el CIH (busca espacios vacíos,
sin usar, dentro de los ejecutables que infecta, dividiéndose
en partes más pequeñas para esconderse allí), su código va
quedando en diferentes posiciones dentro del archivo
infectado. Al mismo tiempo, el sistema operativo va
construyendo la Bound Imports Table, con lo que sobrescribe
partes del código del virus, dejando al programa y al propio
virus inutilizables.
Tenga en cuenta que si bien puede tratarse de una infección
antigua, también existe la posibilidad de la presencia activa
del gusano CIH.
Más información sobre el W95/CIH:
El W95.CIH a fondo
http://www.vsantivirus.com/cih.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1360 Año 8, sábado 27 de marzo de 2004
|
VSantivirus No. 13
Responder a este mensaje
