Mostrando mensaje 484     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1435 Año 8, jueves 10 de junio de 2004 Fecha: Jueves, 10 de Junio, 2004  09:00:47 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1435 Año 8, jueves 10 de junio de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Europa finalmente castigará al crimen cibernético 2 - W32/Tubty.A. Asunto: MESSAGE_ID:, Adjunto: photos.exe 3 - Back/Webber.H. Permite el acceso total a intrusos 4 - W32/Gaobot.AQS. Se copia como "wuamgrd16.exe" _____________________________________________________________ 1 - Europa finalmente castigará al crimen cibernético _____________________________________________________________ http://www.vsantivirus.com/10-06-04.htm Europa finalmente castigará al crimen cibernético Fuente www.crime-research.org Tomado de www.asc.unam.mx Después de un año de discrepancia en la CE (Comisión Europea) sobre el problema del crimen computacional, los países europeos están finalmente cerca de llegar a un acuerdo para enfrentar problemas como los ataques de negación de servicio (DoS) y hacking, después de más de un año de desavenencias sobre el problema. Philippe Gerard, Director General de la Sociedad de Información de la Comisión Europea, dijo el Martes que los países miembros de la Unión Europea acordaron establecer leyes comunes para combatir el crimen cibernético. "Han habido acuerdos políticos por más de un año pero algunos miembros han tenido reservaciones, pero entiendo que el objetivo principal podría ser adoptado a fines de este mes", de acuerdo con lo declarado por Gerard en la conferencia Openwave Messaging Anti-Abuse en Londres. En Abril de 2002, la CE propuso que todos los miembros deberían aportar leyes que detallen explícitamente un rango de ataques sobre un sistema de información. Esto incluye "acceso no autorizado a sistemas de información", "alteración de sistemas de información", "ejecución de software malicioso que modifique o destruya datos", "intercepción de comunicaciones" y "falsificación maliciosa". Gerard se rehusó a decir que países han ayudado a la adaptación de éste proyecto. Algunos de éstos crímenes cibernéticos ya están clasificados en leyes existentes de varios países. Sin embargo, la CE dijo que los desacuerdos y diferencias significativas en las leyes de los estados miembros en esta área obstaculizaban la lucha contra el crimen organizado y el terrorismo, actuando como una barrera a la eficaz cooperación policíaca y judicial en el área de ataques contra los sistemas de información. Gracias a la naturaleza global de Internet, muchos ataques DoS y de hacking, como se piensa, son realizados por alguien en un país diferente al de su víctima. Una vez que la decisión del proyecto sea haga cumplir como ley nacional a través de Europa, debería ser más fácil que los criminales cibernéticos sospechosos sean extraditados dentro de la Unión Europea. El gobierno británico actualmente trabaja sobre una reforma al Computer Misuse Act (acta de mal uso de la computadora), la cual seguramente cumplirá con la política del estándar de la Unión Europea. Enlaces relacionados: http://www.crime-research.org (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Tubty.A. Asunto: MESSAGE_ID:, Adjunto: photos.exe _____________________________________________________________ http://www.vsantivirus.com/tubty-a.htm Nombre: W32/Tubty.A Tipo: Gusano de Internet Alias: Tubty, W32.Tubty.A@mm, Win32/Tubty.A Fecha: 9/jun/04 Plataforma: Windows 32-bit Tamaño: 7,170 bytes Gusano que se envía masivamente vía correo electrónico a todos los contactos de la libreta de direcciones de Windows, utilizando mensajes como el siguiente: De: ballfruit @ mail .ru Asunto: MESSAGE_ID: Datos adjuntos: photos.exe Texto del mensaje: Hello, I'm sorry about last night. I was acting stubborn and impatient and I regret it. Sometimes I say things without thinking and it comes out wrong. I never mean to hurt you, I hope you know that. There's one thing you should know about me- It's always beenballfruit @ mail .ru Cuando se ejecuta, el gusano descarga de un sitio Web en Rusia un troyano robador de contraseñas (PWSteal.Trojan), y luego lo ejecuta. También se envía a si mismo a toda la libreta de direcciones de Windows, en un mensaje similar al anterior. Utiliza para ello su propio motor SMTP, por lo que no depende del cliente de correo instalado. * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar archivos temporales de Windows 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet pinche en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Pinche en Aceptar, etc. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Back/Webber.H. Permite el acceso total a intrusos _____________________________________________________________ http://www.vsantivirus.com/back-webber-h.htm Nombre: Back/Webber.H Tipo: Caballo de Troya de acceso remoto Alias: Webber.H, Win32/TrojanProxy.Webber.H, Backdoor.Berbew.E, Back/Berbew.E Fecha: 10/jun/04 Plataforma: Windows 32-bit Tamaño: 65,747 bytes, 6,145 bytes (MPPEC) Puertos: TCP 23232 y 32121 (por defecto) Troyano que roba información confidencial de la computadora infectada, y permite el acceso de un intruso a la misma. También puede descargar y ejecutar otros componentes desde Internet, además de enviar la dirección IP de la máquina infectada a otros equipos. El troyano busca toda la información almacenada en el caché de contraseñas de Windows, lo que incluye contraseñas de accesos telefónicos, etc. Cuando se ejecuta, crea los siguientes archivos: c:\windows\system\[xxxxxxxx].exe c:\windows\system\[xxxxxxxx].dll También crea numerosos archivos con extensión .HTM en la carpeta TEMP: \TEMP\[xxxxxxxx].htm [...] \TEMP\[xxxxxxxx].htm En todos los casos, [xxxxxxxx] representan 8 caracteres al azar. NOTA 1: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). NOTA 2: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. Crea o modifica las siguientes entradas en el registro, para cambiar las opciones de seguridad del Internet Explorer, y modificar su página de inicio y opciones de búsqueda: HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\Autocomplete "AutoSuggest" = "yes" HKCU\Software\Microsoft\Windows \CurrentVersion\Internet Settings\Zones\0 "1601" = "0" HKCU\Software\Microsoft\Windows \CurrentVersion\Internet Settings\Zones\1 "1601" = "0" HKCU\Software\Microsoft\Windows \CurrentVersion\Internet Settings\Zones\2 "1601" = "0" HKCU\Software\Microsoft\Windows \CurrentVersion\Internet Settings\Zones\3 "1601" = "0" HKCU\Software\Microsoft\Windows \CurrentVersion\Internet Settings\Zones\4 "1601" = "0" HKCU\Software\Microsoft\Windows \CurrentVersion\Internet Settings\Zones\5 "1601" = "0" HKCU\Software\Microsoft\Windows \CurrentVersion\Internet Settings "GlobalUserOffline" = "0" HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\BrowseNewProcess "BrowseNewProcess = "yes" HKCU\Software\Microsoft\Internet Explorer\Main "Use FormSuggest" = "yes" "FormSuggest Passwords" = "yes" "FormSuggest PW Ask" = "yes" "Start Page" = "http: / / 128 .121 .180 .88" "Search Page" = "http: / / 128 .121 .180 .88" Ejecuta un shell (consola para ingresar comandos) en el puerto TCP/23232 que permite el acceso total a un atacante. Ejecuta un servidor FTP en el puerto TCP/32121 y abre además otros dos puertos TCP al azar. El troyano permite a un intruso, acciones como las siguientes: - Descargar y ejecutar archivos desde Internet - Detener cualquier proceso en ejecución - Reiniciar o apagar la PC infectada - Robar contenido del caché de contraseñas - Ver la lista de procesos en ejecución - Ver un registro con información del sistema * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main 3. Pinche en la carpeta "Main" y en el panel de la derecha, bajo la columna "Nombre", busque y modifique los siguientes valores si son diferentes a los aquí mostrados: "Use FormSuggest" = "yes" "FormSuggest Passwords" = "yes" "FormSuggest PW Ask" = "no" "Start Page" = "about:blank" 4. En la misma ventana, borre "Search Page" si existe. 5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Explorer \Autocomplete 6. Pinche en la carpeta "Autocomplete" y en el panel de la derecha, bajo la columna "Nombre", borre el valor "AutoSuggest" si existe. 7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Internet Settings \Zones \4 8. Pinche en la carpeta "4" y en el panel de la derecha, bajo la columna "Nombre", busque y modifique el siguiente valor si es diferente al aquí mostrado: "1601" = "1" 9. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Procedimiento para restaurar página de inicio en Internet Explorer 1. Cierre todas las ventanas del Internet Explorer abiertas 2. Seleccione "Mi PC", "Panel de control". 3. Pinche en el icono "Opciones de Internet". 4. Seleccione la lengüeta "Programas". 5. Pinche en el botón "Restablecer configuración Web" 6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI. 7. Pinche en "Aceptar". * Seleccionar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o pinche en "Página en blanco"). O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual". * Restaurar las páginas de búsqueda del Internet Explorer 1. Inicie el Internet Explorer. 2. Pinche en el botón "Búsqueda" de la barra de herramientas. 3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar". 4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant). 5. Pinche en el botón "Reiniciar" (Reset). 6. Pinche en el botón "Configuración de Autosearch" (Autosearch Settings). 7. Elija un proveedor de búsquedas en el menú (Search Provider). 8. Seleccione "Aceptar" hasta salir de todas las opciones. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Gaobot.AQS. Se copia como "wuamgrd16.exe" _____________________________________________________________ http://www.vsantivirus.com/gaobot-aqs.htm Nombre: W32/Gaobot.AQS Tipo: Gusano de Internet y caballo de Troya Alias: W32.Gaobot.AQS, W32.HLLW.Gaobot.gen, Backdoor.Agobot.gen Fecha: 9/jun/04 Plataforma: Windows NT, 2000 y XP Puertos: TCP/135, TCP/445, TCP/80 Tamaño: 91,815 bytes Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades: Vulnerabilidad RPC/DCOM (MS03-026) http://www.vsantivirus.com/vulms03-026-027-028.htm Vulnerabilidad en el Servicio Localizador (MS03-001) http://www.vsantivirus.com/vulms03-001-002-003.htm Falla crítica en servidores Microsoft IIS 5.0 (MS03-007) http://www.vsantivirus.com/vulms03-007.htm La primera (MS03-026), es la misma falla de la que se aprovecha el Lovsan (Blaster) y otros. Utiliza el puerto TCP/135. La falla se produce por un desbordamiento de búfer en la interfase RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El parche existe desde julio de 2003. La segunda (MS03-001), cuyo parche está disponible desde enero de 2003, es explotada a través del puerto TCP/445. La falla ocurre en el sistema localizador RPC (Remote Procedure Call). En ambos casos, un cortafuegos puede impedir la propagación. La tercera falla (MS03-007), es un desbordamiento de búfer existente en la librería "ntdll.dll" utilizada por el componente WebDAV de Microsoft IIS 5.0, que permite que al enviar una solicitud al servidor, un intruso puede ser capaz de ejecutar código arbitrariamente en el contexto de seguridad local, menos crítico, dándole al atacante el control completo sobre el sistema. Con este gusano, un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC. Se ejecuta solo en Windows NT, 2000 y XP, e intenta finalizar los procesos de conocidos productos antivirus, cortafuegos y algunas utilidades del propio Windows. Se copia en el sistema infectado con el siguiente nombre: c:\windows\system32\wuamgrd16.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Agrega las siguientes entradas en el registro HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Microsoft Update = "wuamgrd16.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Update = "wuamgrd16.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Microsoft Update = "wuamgrd16.exe" Finaliza los siguientes procesos, correspondientes a conocidos antivirus y cortafuegos, además de otros programas y utilidades: msconfig.exe mscvb32.exe navapw32.exe navw32.exe netstat.exe PandaAVEngine.exe regedit.exe sysinfo.exe SysMonXP.exe wincfg32.exetaskmon.exe zapro.exe zonealarm.exe Intenta eliminar archivos asociados con otros gusanos, y sus respectivas claves en el registro. También finaliza los procesos con los siguientes nombres: bbeagle.exe d3dupdate.exe i11r54n4.exe irun4.exe MSBLAST.exe msblast.exe Penis32.exe rate.exe ssate.exe teekids.exe winsys.exe winupd.exe El gusano roba del PC infectado, las posibles identificadores y llaves (CD keys) de conocidos video juegos. El gusano posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles: - Ejecutar comandos en forma remota - Eliminar procesos seleccionados - Examinar el tráfico HTTP, FTP, e IRC (sniffer) - Finalizar servicios de Windows - Listar los procesos activos - Obtener archivos a través de FTP y HTTP - Obtener direcciones de correo de la computadora infectada - Obtener información del registro - Obtener un determinado URL - Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP) - Reiniciar la computadora - Robar contraseñas * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT, y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Microsoft Update 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Microsoft Update 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 7. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Microsoft Update 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre el siguiente archivo: c:\windows\system32\wuamgrd16.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * Vulnerabilidad en RPC (Remote Procedure Call) Este troyano se aprovecha de un desbordamiento de búfer en la interfase RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP. Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC). Descargue y ejecute el parche correspondiente (MS03-026, MS03-039), desde el siguiente enlace: MS03-039 Ejecución de código en servicio RPCSS (824146) http://www.vsantivirus.com/vulms03-039.htm * IMPORTANTE Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. También instale los parches mencionados más adelante. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano. * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1435 Año 8, jueves 10 de junio de 2004