|
Mostrando mensaje 481
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1432 Año 8, lunes 7 de junio de 2004 | | Fecha: | Lunes, 7 de Junio, 2004 08:55:33 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1432 Año 8, lunes 7 de junio de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Plexus, un gusano que ataca a tres puntas
2 - W32/Plexus.C. Usa e-mail, P2P, y recursos compartidos
3 - W32/Plexus.B. Usa e-mail, P2P, RPC/DCOM y LSASS
4 - W32/Gaobot.ALO. Se copia como "lrbz32.exe"
_____________________________________________________________
1 - Plexus, un gusano que ataca a tres puntas
_____________________________________________________________
http://www.vsantivirus.com/07-06-04.htm
Plexus, un gusano que ataca a tres puntas
Por Angela Ruiz
angela@videosoft.net.uy
El código del gusano MyDoom, ha sido la base para que
desconocidos escritores de virus, crearan un nuevo gusano,
potencialmente peligroso, y que utiliza métodos múltiples
para propagarse.
Plexus.A (y sus variantes más recientes, B, C y D), se
propaga utilizando tres métodos diferentes: archivos adjuntos
a mensajes de correo electrónico infectados, archivos
compartidos en red, y dos conocidas vulnerabilidades de
Windows XP y 2000, (el fallo en RPC/DCOM utilizado por Lovsan
o Blaster, y la vulnerabilidad LSASS empleada por Sasser y
sus variantes). Sin embargo, al menos una de ellas parece no
utilizar las vulnerabilidades mencionadas.
Los hasta ahora desconocidos autores del virus, utilizaron el
código fuente del gusano MyDoom para crear a partir de él el
Plexus, según Kaspersky Labs.
David Emm, consultor de tecnología de los laboratorios
Kaspersky, dijo que estos métodos de propagación múltiple,
ayudan a infectar más máquinas. "Ningún gusano desde Nimda ha
usado tantos métodos de propagación", dice Emm.
Kaspersky clasifica a Plexus como de riesgo moderado. "Se
está propagando, pero no tan rápido como Sasser o Blaster, y
la preocupación principal por el gusano proviene del hecho de
que crea una puerta trasera para los piratas informáticos en
los equipos infectados. Estas máquinas comprometidas, pueden
ser usadas luego para el envío de spam o como plataformas
para ataques distribuidos de negación de servicio (DDoS). De
todos modos, la motivación de los autores del gusano aun no
es muy clara", afirma Emm.
Plexus y sus variantes, emplean numerosos mensaje de correo
para intentar engañar a los usuarios. Cada mensaje tiene una
cabecera, cuerpo y nombre de archivo adjunto diferente. El
tamaño del archivo cambia según la versión del gusano.
Una vez que Plexus se ejecuta, se copia a sí mismo en el
registro del sistema, para volverse a ejecutar cada vez que
la máquina es reiniciada. El gusano envía copias de si mismo
a direcciones de correo electrónico recolectadas de varias
tipos de archivos, localizados en los discos de las máquinas
infectadas.
Además, el gusano ataca específicamente a los usuarios del
software antivirus de Kaspersky, ya que impide la descarga de
actualizaciones de su base de datos.
Plexus también revisa la red en busca de sistemas
vulnerables. El gusano abre una puerta trasera en el puerto
1250 de los equipos infectados, haciendo posible la carga y
control remoto de archivos. El puerto abierto, deja además a
la víctima vulnerable a futuros ataques, advierte Kaspersky
Labs.
Los usuarios deben actualizar sus Windows, y los archivos de
sus antivirus, además de utilizar cortafuegos como medida de
protección ante gusanos similares.
* Fuente: Securityfocus.com
* Relacionados:
W32/Plexus.A. Usa e-mail, KaZaa, RPC/DCOM y LSASS
http://www.vsantivirus.com/plexus-a.htm
W32/Plexus.B. Usa e-mail, P2P, RPC/DCOM y LSASS
http://www.vsantivirus.com/plexus-b.htm
W32/Plexus.C. Usa e-mail, P2P, y recursos compartidos
http://www.vsantivirus.com/plexus-c.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Plexus.C. Usa e-mail, P2P, y recursos compartidos
_____________________________________________________________
http://www.vsantivirus.com/plexus-c.htm
Nombre: W32/Plexus.C
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: Plexus.C, Expletus, Win32/Plexus.C, WORM_PLEXUS.C,
W32/Plexus.c@MM, I-Worm.Plexus.b, W32.Explet.B@mm,
Win32/Plexus.B@mm, W32/Plexus.C@mm, W32/Expletus.C@mm,
I.worm.plexus.C@mm
Fecha: 5/jun/04
Plataforma: Windows 32-bit
Tamaño: 69,632 bytes
Variante del Plexus, gusano que se propaga a través del
correo electrónico, redes P2P, y de recursos compartidos en
redes.
El gusano posee capacidad de acceso por puerta trasera,
pudiendo un atacante ejecutar comandos en forma remota en la
computadora infectada.
Modifica el archivo HOSTS, impidiendo el acceso al sitio de
un determinado fabricante de antivirus.
Se puede propagar por redes de intercambio de archivos entre
usuarios (P2P).
Los mensajes infectados pueden tener las siguientes
características:
Ejemplo 1:
Asunto: For you
Datos adjuntos: AtlantI.exe
Texto del mensaje:
Hi, my darling :)
Look at my new screensaver. I hope you will enjoy...
Your Liza
Ejemplo 2:
Asunto: Good offer.
Datos adjuntos: demo.exe
Texto del mensaje:
Greets! I offer you full base of accounts with passwords
of mail server yahoo.com. Here is archive with small part
of it. You can see that all information is real. If you
want to buy full base, please reply me...
Ejemplo 3:
Asunto: Hi, Nick.
Datos adjuntos: release.exe
Texto del mensaje:
In this archive you can find all those things, you asked
me. See you. Steve
Ejemplo 4:
Asunto: Hi, Mike
Datos adjuntos: AGen1.03.exe
Texto del mensaje:
My friend gave me this account generator for
http:/ /www .pantyola .com I wanna share it with you :)
And please do not distribute it. It's private.
Ejemplo 5:
Asunto: RE: order
Datos adjuntos: SecUNCE.exe
Texto del mensaje:
Here is the archive with those information, you asked me.
And don't forget, it is strongly confidencial!!!
Seya, man.
P.S. Don't forget my fee ;)
La dirección que figura como remitente es falsa, tomada de
cualquiera de las direcciones recolectadas para enviarse, o
construida de la siguiente forma:
De: [1]+[2]
Donde [1] puede ser el nombre real tomado de una dirección
recolectada, o uno de los siguientes:
alice
andrew
brenda
brent
brian
claudia
david
debby
george
helen
james
kevin
maria
Michael
peter
robert
sandra
smith
steve
Y [2] puede ser un dominio real tomado de una dirección
recolectada, o uno de los siguientes:
aol.com
hotmail.com
msn.com
yahoo.com
Cuando se ejecuta, se copia en la carpeta System32 de Windows
con los siguientes nombres:
c:\windows\system32\UPU.EXE
c:\windows\system32\SUPU.EXE
También libera los siguientes archivos, identificados como
troyanos (Back/Webber):
c:\windows\system32\[nombre al azar]
c:\windows\system32\SETUPEX.EXE
Crea otra copia de si mismo, en un archivo llamado "A", sin
extensión, en la misma carpeta:
c:\windows\system32\A
NOTA: En todos los casos, "c:\windows\system32" puede variar
de acuerdo al sistema operativo instalado
("c:\winnt\system32", "c:\windows\system32").
Crea las siguientes entradas en el registro, para
autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
InternetServ = [ejecutable del gusano]
Para propagarse a través del correo electrónico, busca
direcciones en archivos de las máquinas infectadas,
localizados en los discos duros C: a Y: inclusive, con las
siguientes extensiones:
.htm
.html
.php
.tbb
.txt
El gusano evita enviarse a direcciones que contengan alguna
de las siguientes cadenas en su nombre:
accoun
acketst
admin
anyone
arin.
be_loyal:
berkeley
borlan
certific
contact
example
feste
gold-certs
google
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
kernel
linux
listserv
mit.e
mozilla
mydomai
mysqlruslis
nobody
nodomai
noone
nothing
ntivi
panda
postmaster
privacy
rating
rfc-ed
ripe.
samples
secur
sendmail
service
somebody
someone
sopho
submit
subscribe
support
tanford.e
the.bat
usenet
utgers.ed
webmaster
Los mensajes generados y enviados, poseen las características
ya vistas al comienzo.
El gusano también intenta acceder a las recursos compartidos
en red, para copiarse en ellos, y luego ejecutarse como un
servicio en cada equipo accedido. Para esto utiliza los
siguientes nombres de archivos:
AVP5.xcrack.exe
DlDir0.exe
hx00def.exe
ICQ04noimageCrk.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNT.exe
YahooDBMails.exe
También utiliza el puerto TCP/1250 y otros al azar, para
recibir instrucciones de un usuario remoto, utilizando un
componente troyano con capacidad de acceso trasero
(backdoor). El mismo es un IRC bot (un programa que actúa
como un usuario de IRC, y está preparado para responder o
actuar automáticamente ejecutando ciertos comandos).
Este bot recibe y procesa instrucciones de un usuario remoto,
conectándose a un canal específico de un determinado servidor
de IRC. En este caso, el usuario remoto podrá descargar y
también ejecutar cualquier archivo desde un servidor FTP o
HTTP, a una carpeta específica de la máquina infectada,
pudiendo actualizar archivos con el mismo nombre con
versiones más nuevas.
El gusano también modifica el archivo HOSTS para impedir el
acceso a determinados sitios. HOSTS es un archivo en formato
texto, sin extensión, ubicado en \windows\ o
windows\system32\drivers\etc\, dependiendo de la versión de
Windows. Dicho archivo es usado por el sistema operativo para
asociar nombres de dominio con direcciones IP. Si este
archivo existe, el sistema lo examina antes de hacer una
consulta a un servidor DNS.
La lista de sitios que son bloqueados, corresponden a las
actualizaciones para el antivirus KAV (Kaspersky Antivirus):
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads4.kaspersky-labs.com
downloads-eu1.kaspersky-labs.com
downloads-us1.kaspersky-labs.com
Para propagarse por redes P2P, el gusano se copia también en
la carpeta compartida por defecto de la utilidad KaZaa (si
esta aplicación está instalada en la máquina infectada),
utilizando los siguientes nombres:
AVP5.xcrack.exe
DlDir0.exe
hx00def.exe
ICQ04noimageCrk.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNT.exe
YahooDBMails.exe
El gusano escanea las siguientes direcciones IP:
141.166.104.1 a 141.166.104.255
Su código contiene el siguiente texto, que no es mostrado en
ningún momento durante su ejecución:
-== KAV I'm Expletus !!!. Made in China. ==-
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas de programas P2P
Es necesario deshabilitar la opción que permite compartir
archivos del o los programas P2P instalados en su
computadora, o podría fallar la limpieza del sistema.
Para ello, siga las instrucciones del siguiente artículo:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
InternetServ
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Plexus.B. Usa e-mail, P2P, RPC/DCOM y LSASS
_____________________________________________________________
http://www.vsantivirus.com/plexus-b.htm
Nombre: W32/Plexus.B
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: Plexus.B, Expletus, Win32/Plexus.B, WORM_PLEXUS.B,
W32/Plexus@MM, I-Worm.Plexus.b, W32.Explet.B@mm
Fecha: 4/jun/04
Plataforma: Windows 32-bit
Tamaño: 40,800 bytes
Gusano que solo se ejecuta en Windows NT, 2000 y XP, y que se
propaga a través del correo electrónico, redes P2P, y de
recursos compartidos en redes, valiéndose de dos conocidas
vulnerabilidades:
1. Desbordamiento de búfer en los procesos RPC/DCOM que
afecta a equipos ejecutando Windows XP y 2000 sin el parche
respectivo (ver http://www.vsantivirus.com/vulms03-026-027-
028.htm y http://www.vsantivirus.com/vulms04-012.htm).
RPC (Llamada a Procedimiento Remoto), es un protocolo que
proporciona a Windows un mecanismo de comunicación entre
procesos para que un programa que se está ejecutando en un
equipo ejecute fácilmente código en un equipo remoto. La
vulnerabilidad afecta las interfaces del protocolo DCOM. DCOM
(Modelo de Objeto Componente Distribuido) es un protocolo que
nos muestra un conjunto de interfaces que permiten a los
clientes y servidores comunicarse. Usando una interfase DCOM,
un programa puede iniciar una Llamada de Procedimiento Remoto
(RPC) a un objeto de otro programa. Este fallo es explotado
también por el gusano Lovsan (Blaster).
2. Vulnerabilidad en componentes del proceso LSASS (Local
Security Authority Subsystem), reparada por Microsoft en su
parche MS04-011 (ver "MS04-011 Actualización crítica de
Windows (835732)", http://www.vsantivirus.com/vulms04-
011.htm), de la que también se vale el gusano Sasser. El
fallo afecta a las computadoras que estén ejecutándose bajo
Windows XP o 2000, sin el parche MS04-011 instalado.
LSASS controla varias tareas de seguridad consideradas
críticas, incluyendo control de acceso y políticas de
dominios. Una de las interfaces MS-RPC asociada con el
proceso LSASS, contiene un desbordamiento de búfer que
ocasiona un volcado de pila, explotable en forma remota. La
explotación de este fallo, no requiere autenticación, y puede
llegar a comprometer a todo el sistema.
Debido al uso de estas vulnerabilidades, un equipo infectado
puede reiniciarse cada pocos segundos, mostrando antes un
mensaje como el siguiente:
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Y luego la referencia a un procedimiento remoto (RPC) o al
archivo LSASS.EXE.
El gusano posee capacidad de acceso por puerta trasera,
pudiendo un atacante ejecutar comandos en forma remota en la
computadora infectada.
Modifica el archivo HOSTS, impidiendo el acceso al sitio de
un determinado fabricante de antivirus.
Se puede propagar por redes de intercambio de archivos entre
usuarios (P2P).
Los mensajes infectados pueden tener las siguientes
características:
Ejemplo 1:
De: [dirección falsa]
Asunto: Good offer
Datos adjuntos: demo.exe
Texto del mensaje:
Greets! I offer you full base of accounts with passwords
of mail server yahoo.com. Here is archive with small part
of it. You can see that all information is real. If you
want to buy full base, please reply me...
Ejemplo 2:
De: [dirección falsa]
Asunto: Hi,
Datos adjuntos: gen1.03.exe
Texto del mensaje:
My friend gave me this account generator for
http:/ /www .pantyola .com I wanna share it with you :)
And please do not distribute it. It's private.
La dirección que figura como remitente es falsa, creada al
azar, o tomada de cualquiera de las direcciones recolectadas
para enviarse.
Cuando se ejecuta, se copia en la carpeta System32 de Windows
con los siguientes nombres:
c:\windows\system32\UPU.EXE
c:\windows\system32\SUPU.EXE
También libera los siguientes archivos, identificados como
troyanos (Dumarin G y H):
c:\windows\system32\PRNTSVR.DLL
c:\windows\system32\SETUPEX.EXE
c:\windows\system32\SVOHOST.EXE
c:\windows\system32\SWCHOST.EXE
Crea otra copia de si mismo, en un archivo llamado "A", sin
extensión, en la misma carpeta:
c:\windows\system32\A
NOTA 1: En todos los casos, "c:\windows\system32" puede
variar de acuerdo al sistema operativo instalado
("c:\winnt\system32", "c:\windows\system32").
NOTA 2: No confunda los nombres de alguno de los archivos
liberados por el gusano, con SVCHOST.EXE (Generic Host
Process for Win32 Services), un archivo legítimo de Windows
XP, utilizado para la ejecución de servicios.
Crea las siguientes entradas en el registro, para
autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NvClipRsv = [ejecutable del gusano]
Para propagarse a través del correo electrónico, busca
direcciones en archivos de las máquinas infectadas,
localizados en los discos duros C: a Y: inclusive, con las
siguientes extensiones:
.htm
.html
.php
.tbb
.txt
El gusano evita enviarse a direcciones que contengan alguna
de las siguientes cadenas en su nombre:
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
mysqlruslis
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
samples
secur
secur
sendmail
service
site
soft
somebody
someone
sopho
spa
spam
submit
subscribe
support
syma
tanford.e
the.bat
unix
unix
usenet
utgers.ed
webmaster
www
you
your
Los mensajes poseen las características ya vistas al
comienzo.
El gusano también intenta acceder a las recursos compartidos
en red, para copiarse en ellos, y luego ejecutarse como un
servicio en cada equipo accedido.
También utiliza el puerto TCP/1250 y otros al azar, para
conectarse a otros equipos y descargar y ejecutar una copia
de si mismo con el siguiente nombre:
\TEMP\_up.exe
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
Su componente troyano con capacidad de acceso trasero
(backdoor), actúa como un IRC bot (un programa que actúa como
un usuario de IRC, y está preparado para responder o actuar
automáticamente ejecutando ciertos comandos). Este bot recibe
y procesa instrucciones de un usuario remoto, conectándose a
un canal específico de un determinado servidor de IRC.
En este caso, el usuario remoto podrá descargar y también
ejecutar cualquier archivo desde un servidor FTP o HTTP, a
una carpeta específica de la máquina infectada, pudiendo
actualizar archivos con el mismo nombre con versiones más
nuevas.
El gusano explota la vulnerabilidad RPC/DCOM igual que el
gusano Lovsan (Blaster), lo que permite a un atacante obtener
el control total del equipo infectado, y ejecutar en él
cualquier código que desee (ver las recomendaciones a tomar
luego de una infección, al final de esta descripción).
La vulnerabilidad es activada enviando paquetes construidos
maliciosamente para provocar un desbordamiento de búfer en un
componente del servicio DCOM. Para ello utiliza el puerto RPC
TCP/135.
El gusano también modifica el archivo HOSTS para impedir el
acceso a determinados sitios. HOSTS es un archivo en formato
texto, sin extensión, ubicado en \windows\ o
windows\system32\drivers\etc\, dependiendo de la versión de
Windows. Dicho archivo es usado por el sistema operativo para
asociar nombres de dominio con direcciones IP. Si este
archivo existe, el sistema lo examina antes de hacer una
consulta a un servidor DNS.
La lista de sitios que son bloqueados, corresponden a las
actualizaciones para el antivirus KAV (Kaspersky Antivirus):
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads4.kaspersky-labs.com
downloads-eu1.kaspersky-labs.com
downloads-us1.kaspersky-labs.com
Para propagarse por redes P2P, el gusano se copia también en
las carpetas compartidas por defecto de estas aplicaciones
(si alguna de estas aplicaciones estuviera instalada en la
máquina infectada), utilizando los siguientes nombres:
AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
* Reparación manual
IMPORTANTE: La reparación manual se ofrece solo como una
forma segura de acceder a nuestros archivos en forma
temporal, inclusive para poder realizar algunos respaldos de
información que no hayamos hecho antes de la infección.
Lamentablemente la infección con este gusano amerita acciones
más drásticas, como formatear y reinstalar el sistema
operativo. Estas razones se explican exhaustivamente en el
siguiente artículo:
Sistema comprometido: "derribar y reconstruir"
http://www.vsantivirus.com/derribar-reconstruir.htm
Después de la limpieza, no conectar el equipo a Internet,
hasta instalar el parche para las vulnerabilidades
mencionadas. Si es necesario, descargarlos antes de proceder
al resto de la limpieza, desde los siguientes enlaces para
instalarlos posteriormente:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
MS04-012 Parche acumulativo para RPC/DCOM (828741)
http://www.vsantivirus.com/vulms04-012.htm
* Métodos para detener el reinicio de Windows
La descarga del parche correspondiente, puede verse
dificultada por el constante reinicio del equipo infectado.
Para evitarlo, siga cualquiera de estos métodos:
1. Simplemente atrase el reloj del sistema una o dos horas
(ajústelo nuevamente a la hora correcta luego de la
instalación del parche).
2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego
ingrese el siguiente comando (más Enter):
shutdown -a
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas de programas P2P
Es necesario deshabilitar la opción que permite compartir
archivos del o los programas P2P instalados en su
computadora, o podría fallar la limpieza del sistema.
Para ello, siga las instrucciones del siguiente artículo:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
NvClipRsv
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
* Información adicional
* Sobre RPC y DCOM
RPC (Remote Procedure Call o Llamada de Procedimiento
Remoto), es un protocolo utilizado por Windows para permitir
que un programa que se ejecuta en un equipo, pueda acceder a
los servicios de otro equipo conectado en red.
El fallo ocurre en el intercambio de mensajes entre procesos
que se realiza sobre protocolos TCP/IP al utilizarse RPC, por
un desbordamiento de búfer, y afectan la interfase DCOM con
RPC, que controla las solicitudes de activación de objetos de
DCOM que las máquinas clientes envían al servidor.
DCOM (Distributed Component Object Model o Modelo de Objeto
Componente Distribuido) es un protocolo que nos muestra un
conjunto de interfaces que permiten a los clientes y
servidores comunicarse entre sí. Los objetos de programa de
un cliente pueden solicitar los servicios de objetos de
programas servidores, en otras computadoras dentro de una
red. Solo es necesario que todos se estén ejecutando en
Windows 9x (95, 98 y Me) o NT (NT, 2000 y XP).
Usando una interfase DCOM, un programa puede iniciar una
Llamada de Procedimiento Remoto (Remote Procedure Call o RPC)
a un objeto de otro programa especializado, que proporciona
el procesamiento necesario y devuelve el resultado.
DCOM emplea a su vez protocolos TCP/IP y HTTP, y está
incluido en las versiones posteriores a Windows 98 y NT. DCOM
escucha en el puerto 135 de TCP/UDP y en los puertos 139, 445
y 593 de TCP.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un
software antivirus incorporado, con la intención de proteger
a sus usuarios de la proliferación de gusanos que utilizan
este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
* Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos
entre usuarios (P2P), debe ser estricto para revisar con dos
o más antivirus actualizados, cualquier clase de archivo
descargado desde estas redes antes de ejecutarlo o abrirlo en
su sistema.
En el caso que el programa incorpore alguna protección
antivirus (como KaZaa), habilitarla es una opción aconsejada,
pero los riesgos de seguridad en el intercambio de archivos
siempre estarán presentes, por lo que se deben tener en
cuenta las mismas precauciones utilizadas con cualquier otro
medio de ingreso de información a nuestra computadora (correo
electrónico, descargas de programas desde sitios de Internet,
etc.).
De cualquier modo, recuerde que la instalación de este tipo
de programas, puede terminar ocasionando graves problemas en
la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja
totalmente su uso en ambientes empresariales, donde además es
muy notorio e improductivo el ancho de banda consumido por el
programa.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Gaobot.ALO. Se copia como "lrbz32.exe"
_____________________________________________________________
http://www.vsantivirus.com/gaobot-alo.htm
Nombre: W32/Gaobot.ALO
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.Gaobot.ALO, W32.HLLW.Gaobot.gen,
Backdoor.Agobot.gen
Fecha: 4/jun/04
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 207,872 bytes
Gusano que se propaga a través de redes compartidas, con
contraseñas débiles (por defecto, pocos caracteres, etc.),
valiéndose de tres conocidas vulnerabilidades:
Vulnerabilidad RPC/DCOM (MS03-026)
http://www.vsantivirus.com/vulms03-026-027-028.htm
Vulnerabilidad en el Servicio Localizador (MS03-001)
http://www.vsantivirus.com/vulms03-001-002-003.htm
Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htm
La primera (MS03-026), es la misma falla de la que se
aprovecha el Lovsan (Blaster) y otros. Utiliza el puerto
TCP/135. La falla se produce por un desbordamiento de búfer
en la interfase RPC (Remote Procedure Call) que permite la
ejecución arbitraria de código. El parche existe desde julio
de 2003.
La segunda (MS03-001), cuyo parche está disponible desde
enero de 2003, es explotada a través del puerto TCP/445. La
falla ocurre en el sistema localizador RPC (Remote Procedure
Call).
En ambos casos, un cortafuegos puede impedir la propagación.
La tercera falla (MS03-007), es un desbordamiento de búfer
existente en la librería "ntdll.dll" utilizada por el
componente WebDAV de Microsoft IIS 5.0, que permite que al
enviar una solicitud al servidor, un intruso puede ser capaz
de ejecutar código arbitrariamente en el contexto de
seguridad local, menos crítico, dándole al atacante el
control completo sobre el sistema.
Con este gusano, un intruso pueda acceder en forma remota a
la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta finalizar
los procesos de conocidos productos antivirus, cortafuegos y
algunas utilidades del propio Windows.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\lrbz32.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Agrega las siguientes entradas en el registro
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MS Config v13 = "lrbz32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
MS Config v13 = "lrbz32.exe"
Finaliza los siguientes procesos, correspondientes a
conocidos antivirus y cortafuegos, además de otros programas
y utilidades:
_avp32.exe
_avpcc.exe
_avpm.exe
ackwin32.exe
anti-trojan.exe
apvxdwin.exe
autodown.exe
avconsol.exe
ave32.exe
avgctrl.exe
avkserv.exe
avnt.exe
avp.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avptc32.exe
avpupd.exe
avsched32.exe
avwin95.exe
avwupd32.exe
blackd.exe
blackice.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
claw95.exe
claw95cf.exe
cleaner.exe
cleaner3.exe
dvp95.exe
dvp95_0.exe
ecengine.exe
esafe.exe
espwatch.exe
f-agnt95.exe
findviru.exe
fprot.exe
f-prot.exe
f-prot95.exe
fp-win.exe
frw.exe
f-stopw.exe
iamapp.exe
iamserv.exe
ibmasn.exe
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icsupp95.exe
icsuppnt.exe
iface.exe
iomon98.exe
jedi.exe
lockdown2000.exe
lookout.exe
luall.exe
moolive.exe
mpftray.exe
n32scanw.exe
navapw32.exe
navlu32.exe
navnt.exe
navw32.exe
navwnt.exe
nisum.exe
nmain.exe
normist.exe
nupgrade.exe
nvc95.exe
outpost.exe
padmin.exe
pavcl.exe
pavsched.exe
pavw.exe
pccwin98.exe
pcfwallicon.exe
persfw.exe
rav7.exe
rav7win.exe
rescue.exe
safeweb.exe
scan32.exe
scan95.exe
scanpm.exe
scrscan.exe
serv95.exe
smc.exe
sphinx.exe
sweep95.exe
tbscan.exe
tca.exe
tds2-98.exe
tds2-nt.exe
vet95.exe
vettray.exe
vscan40.exe
vsecomr.exe
vshwin32.exe
vsstat.exe
webscanx.exe
wfindv32.exe
zonealarm.exe
Intenta eliminar archivos asociados con otros gusanos, y sus
respectivas claves en el registro. También finaliza los
procesos con los siguientes nombres:
dllhost.exe
msblast.exe
mspatch.exe
penis32.exe
tftpd.exe
winhlpp32.exe
winppr32.exe
El gusano roba del PC infectado, las posibles identificadores
y llaves (CD keys) de conocidos video juegos.
Crea tres hilos de ejecución e intenta conectarse a varios
sitios de Internet.
Abre al azar casi 100 puertos TCP, y envía una copia de si
mismo a cualquier proceso que se conecte con esos puertos.
El gusano posee además un componente de acceso remoto por
puerta trasera vía IRC, que permite a un atacante realizar
numerosas acciones en el equipo infectado, incluidos ataques
de denegación de servicio (DoS), a blancos específicos.
Algunas acciones posibles:
- Ejecutar comandos en forma remota
- Eliminar procesos seleccionados
- Examinar el tráfico HTTP, FTP, e IRC (sniffer)
- Finalizar servicios de Windows
- Listar los procesos activos
- Obtener archivos a través de FTP y HTTP
- Obtener direcciones de correo de la computadora infectada
- Obtener información del registro
- Obtener un determinado URL
- Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP)
- Reiniciar la computadora
- Robar contraseñas
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT, y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
MS Config v13
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
MS Config v13
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre el siguiente
archivo:
c:\windows\system32\lrbz32.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Información adicional
* Vulnerabilidad en RPC (Remote Procedure Call)
Este troyano se aprovecha de un desbordamiento de búfer en la
interfase RPC (Remote Procedure Call) que permite la
ejecución arbitraria de código. El Remote Procedure Call
(RPC) permite el intercambio de información entre equipos, y
está presente por defecto en el protocolo TCP bajo el puerto
135 en Windows NT 4.0, 2000 y XP.
Una falla en la parte de RPC encargada del intercambio de
mensajes sobre TCP/IP, permite a un atacante ejecutar
cualquier código con los privilegios locales (Mi PC).
Descargue y ejecute el parche correspondiente (MS03-026,
MS03-039), desde el siguiente enlace:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm
* IMPORTANTE
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
También instale los parches mencionados más adelante.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el gusano.
* Activar cortafuegos de Windows XP (Internet Conexión
Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos
ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos
(que posee algunas limitaciones). Si instala ZA, no active
ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e
Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet".
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1432 Año 8, lunes 7 de junio de 2004
|
Responder a este mensaje
