| Asunto: | VSantivirus No. 1368 Año 8, domingo 4 de abril de 2004 | | Fecha: | Domingo, 4 de Abril, 2004 15:01:24 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1368 Año 8, domingo 4 de abril de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Nyxem.B. Borra archivos y entradas del registro
2 - W32/Gaobot.FC. Se copia como "regsvc32.exe"
_____________________________________________________________
1 - W32/Nyxem.B. Borra archivos y entradas del registro
_____________________________________________________________
http://www.vsantivirus.com/nyxem-b.htm
Nombre: W32/Nyxem.B
Tipo: Gusano de Internet
Alias: Nyxem.B, BlueMoon.A, Win32/Nyxem.A, W32.Blackmal.B@mm,
W32.BlackWorm.B@mm, W32/Mywife.B.worm, W32/MyWife.b@MM,
W32/Nyxem-A, WORM_BLUEWORM.A
Fecha: 1/abr/04
Plataforma: Windows 32-bit
Tamaño: 79,409 bytes
Variante del Nyxem (BlackWorm o MyWife), detectada el 1 de
abril de 2004. Gusano escrito en Visual Basic y comprimido
con la utilidad UPX, que se propaga a través del correo
electrónico, utilizando los dos siguientes formatos para sus
mensajes:
Formato 1:
De: [remitente falso]
Asunto: [uno de los siguientes]
Alert
Asses Mpeg's
File - movie SuCkingPuSSy.mpeg
Fw: `·.¸MPEG`·.¸
Fw: }>Fucking<{
Fw: Funny Ass
Fw: Lesbian Mpeg
Fw:'''~~movie'''~~25
Fwd: Important Alert
Hot XXX Streaming Videos, FREE Clips
Movie
Re: Fw:Women Mpeg
Re: Why?! BackSex.mpeg
Re:(movie)
Videos Clips...SeXxXy
XXX Funny movie
Texto: [uno de los siguientes en texto plano]
Babe sucking black Dog MPEG funny movie
hey guys my name is April Goostree i am a sexy 22 yr
old bbw , 5'9, 48 dd , big ole booty, jus lovin
life, until i get my pics posted in here you can
either check out my profile or join my own yahoo
group Texas-Sexy@groups.msn.com, either way works
for me..i hope to become very active in this group,
i like to get to know people, like to get on cam
once in a while, jus to chill, when they aint none
home..thats why its once in a while yaknow..anyways
jus holla at me... n thanks for lettin me join!!!
kisses kandee..Bye
Dozens of Free Video Clips to download.Many Niches.
Updated regularly and more added daily.Taken From
Vivi's Lovely Briefcase.
very good movie >>> Video's Media Player. SEX
SEX * Sluts Tits Video Mpeg's Mpeg Video Clips
Cum and check this fun group out...Sexy ladies!!
Come post your ad,..this is a real swingers group!!
I'm attatching a Video Clip of my wife if interested
in checking it out!
-==This server Cannot support Transfer Big Movies==-
Video's Girls Erotic WebCam's Tits Mpeg's Girls Ass
SEX Pussy Video Clips
Here is another Vclip of my daily group :|
All kinda Women Can be Found Here To Satisfy Women
Lovers' Eyes
u Love asses? Here is a great ass open wide waitin
for ur lil Cock Bye
movie attached open by media Player 7.1
when i saw my ass i slept 3 hours why?? check my ass
sorry my movie LOOOOOOOOL joke (^!^)
Check This ?ucking Babe ;D ?ucking =
Sucking=Fucking
Todos ellos agregan el siguiente texto al final:
[dominio del destinatario] servers automatically
scanned for viruses using Norton AntiVirus-2004
Donde [dominio del destinatario] es el dominio de la
dirección que aparece en el campo "Para:" (lo que está
después de la arroba).
Datos adjuntos: [dos archivos]
Archivo 1: [uno de los siguientes escenarios]
Primer escenario, [parte 1] + [parte 2]:
Donde [parte 1] es una de las siguientes:
april.mpeg
cluley.mpeg
frinds.mpeg
fucking.mpeg
juanita.mpeg
julia.mpeg
ricky.mpeg
sex[4].mpeg
sexual.mpeg
suck[7].mpeg
video2.mpeg
webcam.mpeg
Y [parte 2] es una de las siguientes:
_________________________________________________________.exe
_________________________________________________________.scr
Segundo escenario, [parte 1] + [parte 2]:
Donde [parte 1] es una de las siguientes:
april
assclip
bigfuck
blackdog
fuckgirl
hilton
juliaroberts
rickymartin
sex
shkira1990
sucking
vclip2
video
Y [parte 2] es una de las siguientes extensiones:
.gz
.taz
.tgz
.tz
.z
.zip
El nombre del archivo contenido dentro de los comprimidos, es
uno de los indicados antes en "Escenario 1".
El segundo archivo adjunto (NAV2004.GIF), es la imagen con el
falso mensaje de Norton AntiVirus, la cual muestra el
siguiente texto:
Norton 2004
AntiVirus
No virus threat detected.
[ver imagen: http://www.vsantivirus.com/nyxem-b.htm]
Formato 2:
Es un mensaje con formato HTML, y un texto con una falsa
advertencia:
Asunto: [uno de los siguientes]
Alert
Fwd: Important Alert
De: [remitente falso]
Texto:
Dear User,
This is A very High Resk Virus Alert
This email is sent to you because one or some of
your friends has been infected with The
W32.BlackWorm.A@mm Virus.
And you could be infected too.This Virus has the
ability to damage the hard disk.
This Virus infects computers using many new ways :
1- it arrives as an email attachment inside of jpg
pictures.
2- it infects the ip address without the victim's
knowledge.
3- it infects Microsoft Word Documents using a new
exploit in hex (00fxf0xf10x).
---------------------------------------------------
Notes:
Symantec Consumer products that support Worm
Blocking functionality automatically detect this
threat as it attempts to spread.
Symantec Security Response has attached a removal
tool to clean and prevent the infections of
W32.BlackWorm.A@mm.
---------------------------------------------------
Sincerely
Norton AntiVirus
Datos adjuntos: [uno de los siguientes]
fix_blackworm.com
scan.zip
scan.tgz
El archivo comprimido contiene el siguiente:
fiz_blackworm.com
La infección se produce cuando se ejecuta cualquiera de los
archivos ejecutables adjuntos.
Al ejecutarse por primera vez, puede mostrar el siguiente
mensaje de error falso:
RUNDLL
Error loading mouse
The specified module could not be found.
[ OK ]
Mientras se ejecuta, mantiene dos procesos de si mismo
siempre activos. Cuando cualquiera de los dos es eliminado,
el otro lo reinicia de inmediato.
El gusano utiliza su propio motor SMTP para propagarse a
todos los contactos de MSN Messenger, Yahoo Pager, y
direcciones electrónicas localizadas en archivos con
extensión .HTM o .DBX en la máquina infectada.
Utiliza la presentación del Reproductor de Windows Media
(Windows Media Player), para ocultar sus intenciones. Además
intenta eliminar conocidos antivirus y cortafuegos, entre
otras herramientas de seguridad. También intentará más
adelante, borrar archivos del sistema.
Cuando el gusano se ejecuta, crea el siguiente archivo vacío
(cero bytes), en la carpeta de temporales:
\TEMP\media.temp.mpeg
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
Luego ejecuta el Reproductor de Windows Media, el cuál falla
al no poder abrir el archivo vacío, mostrando un mensaje de
formato de archivo no reconocido. La única razón de este
procedimiento, es engañar al usuario, quien seguramente se
despreocupará luego de esta acción, pensando tal vez que el
archivo recibido está corrupto o incompleto.
El gusano crea dos archivos DLL. Uno de ellos es el motor
SMTP que utiliza para los envíos. El otro, es una herramienta
utilizada para realizar ataques de denegación de servicio a
determinados sitios:
c:\windows\system\ossmtp.dll
c:\windows\system\oswinsck.dll
También crea una carpeta llamada TEMPORARY dentro de
C:\WINDOWS, copiándose en ella con diferentes nombres.
Se copia además con los siguientes nombres de archivos
(también pueden ser nombres al azar):
c:\windows\system\blackworm.exe
c:\windows\system\winhlp32w.exe
c:\windows\temporary\delttsul.exe
c:\windows\win 32.com
c:\windows\win.exe
El gusano crea múltiples copias de si mismo en la carpeta
System de Windows, y uno de esos archivos será utilizado como
adjunto de los mensajes infectados que envíe (la lista de los
archivos copiados es la detallada antes en la descripción de
los mensajes).
Crea alguna de las siguientes entradas en el registro, para
autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = c:\windows\system\[archivo]
[archivo] = c:\windows\temporary\[archivo]
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
(Predeterminado) = c:\windows\system\[archivo]
[archivo] = c:\windows\temporary\[archivo]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(Predeterminado) = c:\windows\temporary\[archivo]
[archivo] = c:\windows\system\[archivo]
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
(Predeterminado) = c:\windows\temporary\[archivo]
[archivo] = c:\windows\system\[archivo]
Donde [archivo] es el nombre de cualquiera de las copias del
gusano.
El gusano crea también las siguientes entradas en el
registro:
HKCC\Display\Fonts
(Predeterminado) = c:\windows\temporary\[archivo]
HKCC\Software\Microsoft
(Predeterminado) = c:\windows\system\[archivo]
HKLM\SOFTWARE\Classes\OSSMTP.Attachment
HKLM\SOFTWARE\Classes\OSSMTP.CustomHeader
HKLM\SOFTWARE\Classes\OSSMTP.SMTPSession
HKLM\SOFTWARE\Classes\oswinsck.TCP
Puede borrar los siguientes valores de las claves que se dan
a continuación:
Claves:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Valores borrados:
au.exe
ccApp
Explorer
gigabit.exe
ICM version
KasperskyAv
McAfeeVirusScanService
MCAgentExe
McRegWiz
MCUpdateExe
McVsRte
Microsoft IE Execute shell
Microsoft System Checkup
msgsvr32
NAV Agent
Norton Antivirus AV
NPROTECT
PCCClient.exe
pccguide.exe
PCCIOMON.exe
PCClient.exe
PccPfw
ScriptBlocking
Sentry
ssate.exe
SSDPSRV
sysinfo.exe
SysMonXP
system.
Taskmon
tmproxy
VirusScan Online
VSOCheckTask
Windows Services Host
Winsock2 driver
winupd.exe
También intenta borrar todos los archivos ejecutables de las
siguientes carpetas:
\Archivos de programa\McAfee\McAfee VirusScan\Vso\
\Archivos de programa\Norton AntiVirus\
\Archivos de programa\Symantec\LiveUpdate\
\Archivos de programa\Trend Micro\Internet Security\
\Archivos de programa\Trend Micro\PC-cillin 2002\
\Archivos de programa\Trend Micro\PC-cillin 2003\
Realiza ataques de denegación de servicio al siguiente sitio
(New York Mercantile Exchange):
www.nymex.com
El gusano también enumera la lista de recursos compartidos
que son accesibles, e intenta copiarse en cada uno de ellos.
* Reparación manual
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
\TEMP\media.temp.mpeg
c:\windows\system\blackworm.exe
c:\windows\system\ossmtp.dll
c:\windows\system\oswinsck.dll
c:\windows\system\winhlp32w.exe
c:\windows\win 32.com
c:\windows\win.exe
También borre la carpeta TEMPORARY y todo su contenido:
c:\windows\TEMPORARY
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las siguientes
entradas:
(Predeterminado) = c:\windows\temporary\[archivo]
[archivo] = c:\windows\system\[archivo]
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre las
entradas que aparezcan de esta lista:
(Predeterminado) = c:\windows\temporary\[archivo]
[archivo] = c:\windows\system\[archivo]
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las siguientes
entradas:
(Predeterminado) = c:\windows\system\[archivo]
[archivo] = c:\windows\temporary\[archivo]
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunServices
9. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre las
siguientes entradas:
(Predeterminado) = c:\windows\system\[archivo]
[archivo] = c:\windows\temporary\[archivo]
10. Borre también las siguientes entradas del registro:
HKEY_CURRENT_CONFIG\Display\Fonts
(Predeterminado) = c:\windows\temporary\[archivo]
HKEY_CURRENT_CONFIG\Software\Microsoft
(Predeterminado) = c:\windows\system\[archivo]
HKEY_LOCAL_MACHINE\Classes\OSSMTP.Attachment
HKEY_LOCAL_MACHINE\Classes\OSSMTP.CustomHeader
HKEY_LOCAL_MACHINE\Classes\OSSMTP.SMTPSession
HKEY_LOCAL_MACHINE\Classes\oswinsck.TCP
11. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
12. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Gaobot.FC. Se copia como "regsvc32.exe"
_____________________________________________________________
http://www.vsantivirus.com/gaobot-fc.htm
Nombre: W32/Gaobot.FC
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.Gaobot.UL, W32.Gaobot.gen
Fecha: 1/abr/04
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445
Gusano que se propaga a través de redes compartidas, con
contraseñas débiles (por defecto, pocos caracteres, etc.),
valiéndose de conocidas vulnerabilidades.
Se ejecuta solo en Windows NT, 2000 y XP.
Intenta infectar cada proceso activo en memoria. Si la acción
tiene éxito, el archivo del gusano (regsvc32.exe) queda
oculto, y cada nuevo proceso creado es infectado en memoria
también. Esto evita que pueda ser encontrado y borrado
mientras se encuentre activo.
Solo intenta infectar procesos en memoria. Algunos procesos
pueden quedar inestables luego de una infección de este tipo,
dejando de responder y en ocasiones bloqueando al sistema.
Otras diferencias con variantes anteriores son las
siguientes:
1. Se copia con el siguiente nombre:
c:\windows\system32\regsvc32.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
2. Las entradas que agrega en el registro son las siguientes:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Generic Service Process = regsvc32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Generic Service Process = regsvc32.exe
3. Modifica el archivo HOSTS para que los siguientes sitios
no puedan ser accedidos desde una máquina infectada:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
Posee un componente de acceso remoto por puerta trasera vía
IRC, que permite a un atacante realizar numerosas acciones en
el equipo infectado, incluidos ataques de denegación de
servicio (DoS), a blancos específicos.
También intenta finalizar los procesos activos de una extensa
lista de productos antivirus y cortafuegos (más de 450) y los
procesos pertenecientes a otros gusanos, como el Bagle y
Netsky entre otros. Las listas completas con todos los
nombres de estos procesos, las puede consultar en la
descripción de W32/Gaobot.AO.
* Más información:
W32/Gaobot.AO. Peligroso gusano y caballo de Troya
http://www.vsantivirus.com/gaobot-ao.htm
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT, y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Generic Service Process
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
Generic Service Process
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre el siguiente
archivo:
c:\windows\system32\regsvc32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Reinicie su computadora.
* Información adicional
* Vulnerabilidad en RPC (Remote Procedure Call)
Este troyano se aprovecha de un desbordamiento de búfer en la
interfase RPC (Remote Procedure Call) que permite la
ejecución arbitraria de código. El Remote Procedure Call
(RPC) permite el intercambio de información entre equipos, y
está presente por defecto en el protocolo TCP bajo el puerto
135 en Windows NT 4.0, 2000 y XP.
Una falla en la parte de RPC encargada del intercambio de
mensajes sobre TCP/IP, permite a un atacante ejecutar
cualquier código con los privilegios locales (Mi PC).
Descargue y ejecute el parche correspondiente (MS03-026,
MS03-039), desde el siguiente enlace:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm
* IMPORTANTE
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
También instale los parches mencionados más adelante.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el gusano.
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(que posee algunas limitaciones). Si instala ZA, no active
ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1368 Año 8, domingo 4 de abril de 2004
|
VSantivirus No. 13
Responder a este mensaje
