| Asunto: | VSantivirus No. 1008, Año 7, Viernes 11 de abril de 2003 | | Fecha: | Viernes, 11 de Abril, 2003 12:04:32 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1008, Año 7, Viernes 11 de abril de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Falla en Samba permite invadir servidores Linux
2 - Peligro de spoofing con comandos DCC en el mIRC
3 - W32/Morb.a. Se propaga vía e-mail, IRC/HTTP y KaZaa
4 - WM97/Kingpawn.A. Envía documentos infectados vía IRC
5 - Troj/Backdoor.FTP_Ana.D. Troyano de acceso remoto
6 - Sorteo de cinco licencias de Nod32
_____________________________________________________________
1 - Falla en Samba permite invadir servidores Linux
_____________________________________________________________
http://www.vsantivirus.com/vul-samba.htm
Falla en Samba permite invadir servidores Linux
Por Giordani Rodrigues
editor@infoguerra.com.br
Traducción: VSAntivirus
Artículo publicado originalmente en "InfoGuerra" (*)
http://www.infoguerra.com.br/infoguerra.php?newsid=1049924213,5272,/
Servidores ejecutando el software Samba desactualizado,
corren el riesgo de ser invadidos, advirtió la empresa de
seguridad rusa Kaspersky, en su boletín de este miércoles.
Samba es un programa ampliamente utilizado en sistemas Linux
y Unix para compartir archivos Windows.
El problema, del tipo desbordamiento de búfer (explosión de
memoria), posibilita que un cracker pueda comprometer
fácilmente a cualquier servidor Samba conectado a Internet.
De acuerdo con los desarrolladores del software, "la
vulnerabilidad, si es explotada correctamente, lleva a un
usuario anónimo a obtener el acceso administrativo (root) en
un sistema corriendo Samba". Según Jeremy Allison, jefe del
equipo de programadores de Samba y co-autor del software, la
falla "está presente en el código desde hace siete u ocho
años".
Todas las versiones estables del programa son vulnerables,
incluyendo la 2.2.8. Versiones alfa de Samba 3.0 no presentan
la falla (tampoco la última actualización la versión 2.2.8a).
Ya existen exploits (herramientas) para explotar el bug, y
existen noticias de que grupos de crackers ya se están
aprovechando de la brecha.
El problema fue descubierto por la empresa de seguridad
Digital Defense cuando uno de los servidores monitoreados por
sus investigadores fue invadido por medio de un exploit.
La empresa advierte que todos los sistemas Linux y Unix
ejecutando Samba, incluyendo los sistemas FreeBSD y Solaris,
son afectados por el error, e insiste en que los
administradores deben actualizar su software lo antes
posible.
La nueva versión 2.2.8a puede ser descargada desde el
siguiente enlace: http://us1.samba.org/samba/samba.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Peligro de spoofing con comandos DCC en el mIRC
_____________________________________________________________
http://www.vsantivirus.com/dcc-spoofing.htm
Peligro de spoofing con comandos DCC en el mIRC
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
mIRC es un amigable y muy utilizado cliente de IRC (Internet
Relay Chat), con numerosas opciones y herramientas
(http://www.mirc.com).
Soporta el protocolo DCC (Direct Client to Client). DCC
permite la transferencia directa entre dos computadoras.
"DCC Send" y "DCC Get", son los comandos que posibilitan el
envío y recepción de archivos entre esas computadoras.
Cuando se usa "DCC Get", la ventana de diálogo del mIRC para
mostrar el nombre del archivo a recibir está visualmente
limitada a un determinado tamaño.
Si un usuario malicioso, utiliza el comando "DCC Send" con un
nombre de archivo especialmente modificado, es posible
disfrazar un peligroso ejecutable como un inocente archivo.
A esta técnica se la denomina "spoofing", hacer aparecer una
cosa por otra.
En concreto, se puede crear un nombre más largo del
visualizado por la ventana de diálogo que muestra el comando
"DCC Get", ocultando la verdadera extensión.
Por ejemplo un nombre como este:
pelicula.mpg [aquí +100 caracteres especiales vacíos] .exe
Mostraría en la ventana de diálogo solo esto:
pelicula.mpg
El usuario podría pensar se trata de un archivo MPG (una
película), y al intentar abrirla, se ejecutaría un programa,
porque en realidad su extensión es .EXE.
* Observaciones
Es importante hacer notar que esta técnica no es nueva, y la
utilizan numerosos virus y gusanos para transmitirse vía e-
mail. Deben existir muchas aplicaciones que son engañadas de
este modo, dejando ocultas las extensiones potencialmente
peligrosas.
Además, Windows oculta por defecto las extensiones más usadas
(siempre lo hemos considerado un gran error), y para ver las
extensiones como .EXE se debe configurar el sistema como se
indica en "Mostrar las extensiones verdaderas de los
archivos", al final de este artículo.
* La solución
Se recomienda precaución al recibir archivos a través de los
canales de IRC. Sólo acepte archivos que usted ha pedido,
pero aún así, jamás los abra o ejecute sin revisarlos antes
con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar
respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su
configuración, funciones como "send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la
configuración de "DCC" para transferencia de archivos,
selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de
éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Morb.a. Se propaga vía e-mail, IRC/HTTP y KaZaa
_____________________________________________________________
http://www.vsantivirus.com/morb-a.htm
Nombre: W32/Morb.a
Tipo: Gusano de Internet
Alias: W32/Morb@mm
Fecha: 10/abr/03
Tamaño: 55,808 bytes
Plataforma: windows 32-bit
Escrito en Borland Delphi, este gusano está programado para
propagarse por diversos medios y formas. Algunas de estas
solo funcionan en Windows NT, 2000 y XP:
1. Enviándose a si mismo al remitente de todos los mensajes
en la carpeta de entrada del Outlook Express.
2. A través de la red peer-to-peer (P2P) de intercambio de
archivos entre usuarios, KaZaa.
3. Vía IRC/HTTP. El puerto 81 es abierto en la computadora de
la víctima infectada y la dirección es distribuida a través
del IRC. Al usuario que recibe la notificación y abre esa
dirección, se le despliega una página HTML conteniendo el
enlace a una copia del gusano, la que ejecuta engañado.
El gusano libera además, una copia comprimida con la
herramienta UPX de una variante del troyano IRC/SDBOT.
Los siguientes archivos son creados en la computadora
infectada:
c:\winnt\services\setup.exe (55,808 bytes)
c:\winnt\msapi.exe (16,416 bytes, irc/sdbot)
c:\winnt\svchost.exe (55,808 bytes, copia del gusano)
c:\winnt\system32\winsyst32.exe (16,416 bytes, irc/sdbot)
c:\mirc\mscript.ini (232 bytes)
c:\winnt\services\index.html (670 bytes)
También crea las siguientes entradas en el registro, para
autoejecutar al propio gusano y al troyano sdbot:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
svchost = c:\winnt\svchost.exe
winsyst32 = winsyst32.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
winsyst32 = winsyst32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
svchost = c:\winnt\svchost.exe
winsyst32 = winsyst32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
winsyst32 = winsyst32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
winsyst32 = winsyst32.exe
("C:\WinNT" en Windows NT/2000, "C:\Windows" en Windows
9x/ME/XP)
El código del gusano contiene la siguiente cadena de
caracteres:
b0rm_v0.1
1. Envío vía correo electrónico
El mensaje es formado con las siguientes características:
Asunto y texto del mensaje, una cadena seleccionada de la
siguiente lista:
bitch ;),
btw, download this,
B-ville did it again ...
Check this out
Check this out,
Come on honey!
Company information
Free porn at
Fuck this,
Hahaha,
Here you go, I recall you asked for this.
hey go to,
Hey sweety, check the attachement.
hmmmm,
HOLY SHIT,
How come this happened?
How do you feel about this?
I admit it ... I love you
I love this funny game, check it out.
I wanted to show you this,
Is this possible?
is this you?
Keep it a secret please!
lol,
Microsoft Windows Security Update
omg omg omg I found the best app,
please check out,
Please do not make this public, thank you.
Please install this update, its required
rofl,
See if you can get this to work
See if you can get this to work,
Sex me up
Sex me up baby
This guy is a moron,
this is cool,
this is funny,
This is me naked,
This is me,
This is so funny
This is the stock information you wanted.
This is what you wanted, right?
To be or not to be?
weird,
What have they done with you?
whats this?
Whats wrong with?
With love from b-ville!
WOW CHECK THIS OUT,
wtf?
Archivos adjuntos, uno de los siguientes nombres de archivos,
relacionados con el texto del mensaje:
Attachement.exe
B-ville.exe
FreeSex.exe
I_Love_U.exe
information.DOC.exe
NakedPics.JPG.exe
Q349247.exe
Saddam_Game.exe
SecretFile.exe
StockInformation.XLS.exe
Por ejemplo:
Asunto: See if you can get this work
Datos adjuntos: B-ville.exe (55.9 KB)
Texto: This is the stock information you wanted.
2. Vía KaZaa
El gusano intenta enviarse a través de la red de intercambio
de archivos P2P KaZaa, con los siguientes nombres:
Command & Conquer Generals Crack.exe
Command & Conquer Generals.exe
Gods & Generals Crack.exe
Gods & Generals.exe
GTA 4 - BETA.exe
Mortal Kombat - Deadly Alliance.exe
Raven Shield - Crack.exe
Raven Shield Keygenerator - WORKS ONLINE.exe
Splinter Cell Crack.exe
Splinter Cell.exe
The Sims 4 Crack.exe
The Sims 4.exe
Unreal 2 - The Awakening.exe
Unreal 2 Crack.exe
Warcraft III - The Frozen Throne.exe
3. Vía IRC/HTTP
El virus abre el puerto 81 en la computadora de la víctima y
copia un script al directorio del mIRC (si está instalado):
c:\mirc\mscript.ini
Este script es usado para enviar el siguiente mensaje con la
dirección de la víctima:
Fuck this, http://[IP de la víctima]:81
El virus también modifica el archivo MIRC.INI para que se
incluya el MSCRIPT.INI en la ejecución del mIRC.
[rfiles]
n2=MScript.ini
Crea un archivo INDEX.HTML en C:\WinNT\Services. Este archivo
simula estar relacionado con una instalación del reproductor
Flash de Macromedia:
Macromedia Flash Player Required, Installation Instructions:
1. Click here and click open
2. Close your browser
3. The Macromedia Flash Player has now been installed. You
do not have to restart your computer for this control to
take effect.
La página es mostrada cuando el usuario selecciona la URL
distribuida vía IRC. El enlace apunta a una copia del gusano
en la misma máquina (SETUP.EXE).
* Reparación manual
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\mirc\mscript.ini
c:\winnt\services\setup.exe
c:\winnt\msapi.exe
c:\winnt\svchost.exe
c:\winnt\system32\winsyst32.exe
c:\mirc\mscript.ini
c:\winnt\services\index.html
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
svchost
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
WinSyst32
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunOnce
7. Pinche en la carpeta "RunOnce" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
WinSyst32
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
9. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
svchost
10. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
11. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
WinSyst32
12. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
13. Pinche en la carpeta "RunOnce" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
WinSyst32
14. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
15. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
WinSyst32
16. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - WM97/Kingpawn.A. Envía documentos infectados vía IRC
_____________________________________________________________
http://www.vsantivirus.com/kingpawn-a.htm
Nombre: WM97/Kingpawn.A
Tipo: Virus de macro de Word
Alias: Kingpawn, WM97/Kingpawn-A
Fecha: 12/abr/03
Plataforma: Windows 32-bit
Este virus de macro, creado con una conocida herramienta de
creación de virus, se propaga a través de los canales de IRC
(Internet Relay Chat), usando diferentes clientes.
Si detecta el mIRC en la computadora infectada, el virus crea
el archivo de configuración SCRIPT.INI, con las instrucciones
para enviar el actual documento infectado a todos los
participantes del chat vía DCC.
Si detecta el pIRCh, crea el archivo EVENTS.INI, modificado
para enviar del mismo modo que con el mIRC, el actual
documento infectado.
Si en cambio encuentra al vIRC32, el virus edita la siguiente
rama del registro, configurando el llamado "Event17" para el
envío mediante DCC del actual documento infectado al canal de
IRC:
HKCU\Software\MeGALiTH Software\Visual IRC96\Events\Event17
Cuando se intente editar un documento infectado por el virus,
el mismo pide una contraseña. La misma, puesta por el virus,
es la siguiente:
IAMAPORNKING
* Como limpiar documentos de Word infectados
Ejecute uno o más antivirus actualizados con las últimas
definiciones. Recomendamos el uso de F-Macrow, antivirus de
F-Prot solo para virus macros, gratuito para uso personal, y
que se actualiza con MACRO.DEF (MACRDEF2.ZIP).
Programa y actualización pueden ser descargados de nuestro
sitio: http://www.vsantivirus.com/f-prot.htm
* Medidas complementarias con los macros
En Word 97, seleccione Herramientas, Opciones, pinche en la
lengüeta General, y marque la última casilla: "Protección
antivirus en macros" y "Confirmar conversiones al abrir". En
Word 2000 y XP, vaya a Herramientas, Macro, Seguridad, y
cambie el nivel a Alto.
* Limpieza de la configuración del IRC:
1. Desde el Explorador de Windows, localice y borre los
siguientes archivos:
SCRIPT.INI (directorio del mIRC)
EVENTS.INI (directorio del pIRCh)
2. Si posee el vIRC32, utilice REGEDIT (Inicio, Ejecutar,
escriba REGEDIT y pulse Enter), para buscar la siguiente rama
del registro:
HKEY_CURRENT_USER
\Software
\MeGALiTH Software
\Visual IRC96
\Events
\Event17
3. Pinche en "Events17" y busque y borre en la ventana de la
derecha la entrada "dcc send".
4. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Troj/Backdoor.FTP_Ana.D. Troyano de acceso remoto
_____________________________________________________________
http://www.vsantivirus.com/back-ftp-ana-d.htm
Nombre: Troj/Backdoor.FTP_Ana.D
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.FTP_Ana.D
Fecha: 8/abr/03
Plataforma: Windows 32-bit
Tamaño: 9,728 bytes
Este troyano, escrito en Visual C++ y comprimido con la
utilidad UPX, compromete la seguridad de la computadora
infectada, al permitir el acceso de un intruso a la misma. Se
identifica por copiarse en la máquina infectada con el nombre
de "Net.exe".
C:\Windows\net.exe
"C:\Windows" puede variar de acuerdo a la versión de Windows
instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o
"C:\WinNT" en Windows NT/2000).
Modifica el registro para autoejecutarse en siguientes
reinicios de la computadora:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
net = C:\Windows\net.exe
Además, genera las siguientes entradas:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\Net
StubPath = C:\Windows\net.exe ASC
El troyano notifica al atacante mediante el ICQ pager.
Luego, queda a la espera de los comandos que le permitirán al
intruso, tomar el control de la computadora infectada.
Entre otras acciones, captura la información de la
computadora infectada y su red, roba nombres de usuarios y
claves de acceso, permite enviar y recibir archivos, etc.
Puede transmitirse en forma manual, no por si solo, vía
Telnet, correo electrónico, listas de noticias (newsgroups),
canales de IRC, y redes P2P como KaZaa y otros, simulando ser
alguna utilidad, etc.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
net = C:\Windows\net.exe
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Active Setup
\Installed Components
\Net
5. Pinche en la carpeta "Net" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
StubPath = C:\Windows\net.exe ASC
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
6 - Sorteo de cinco licencias de Nod32
_____________________________________________________________
http://www.vsantivirus.com/sorteo.htm
Sorteo de cinco licencias de Nod32
* Sorteos realizados:
1. 04/abr/03 - David León Magaña (México)
* Formulario de inscripción
1. Para participar en el sorteo de las cuatro licencias
restantes del antivirus Nod32 ingrese su dirección
electrónica, nombre y país en el formulario de la siguiente
página:
http://www.vsantivirus.com/sorteo.htm
2. En un plazo no mayor de 12 horas, recibirá un número
generado al azar con el que participará. Dicho número es
único y será válido hasta la finalización del sorteo. Sin
embargo, se aceptará solo un acierto por número.
3. Cada fin de semana hasta completar el sorteo de las cinco
licencias, todo número coincidente con las cifras finales del
primer premio del sorteo semanal de la Lotería Uruguaya
(http://www.loteria.gub.uy/default.htm), se hará acreedor de
la licencia válida por un año de un paquete personal del
Antivirus Nod32, cedido a VSAntivirus por Ontinet.com, S.L,
distribuidor exclusivo en España del mismo.
4. En caso de no coincidir ningún número con el primer
premio, se hará acreedor el más cercano al mismo y se
publicará su nombre en nuestro sitio. Para evitar el SPAM, no
se mostrará su dirección de correo completa.
5. El ganador será avisado de los pasos siguientes para
hacerse de su premio. Su número no participará en el resto de
los sorteos hasta completar los cinco paquetes sorteados.
6. Podrán participar todos los suscritos a nuestro boletín, y
no se enviará más de un número por dirección suscrita.
7. Si la dirección electrónica utilizada no coincide con la
de un usuario registrado, no será enviado ningún número para
participar. Asegúrese de que la dirección es la misma que
figura al pie de cada boletín, donde dice : "Este boletín es
enviado a: [aquí va su dirección]"
8. El próximo sorteo será el viernes 11 de abril de 2003.
Más información:
Festejamos los 1000 regalando cinco licencias de Nod32
http://www.vsantivirus.com/sorteo-1000.htm
¡Ya hay un feliz poseedor del antivirus Nod32!
http://www.vsantivirus.com/ganadores.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1008, Año 7, Viernes 11 de abril de 2003
|
VSantivirus No. 10
Responder a este mensaje
