Mostrando mensaje 452     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1403 Año 8, domingo 9 de mayo de 2004 Fecha: Domingo, 9 de Mayo, 2004  07:28:47 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1403 Año 8, domingo 9 de mayo de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Capturados autores del Sasser, del Netsky y del Agobot 2 - W32/Sasser.E. Se puede ejecutar en Windows 9x y Me 3 - Troj/Windang.A. Libera un documento en español _____________________________________________________________ 1 - Capturados autores del Sasser, del Netsky y del Agobot _____________________________________________________________ http://www.vsantivirus.com/ev-captura-sasser.htm Capturados los autores del Sasser, del Netsky y del Agobot Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] [Información actualizada 09/05/2004, UTC/GMT 08:17] Un estudiante alemán de la preparatoria, de 18 años, ha sido capturado este viernes por la policía, acusado de ser el creador del Sasser, el gusano que empezó a propagarse masivamente el pasado fin de semana. Su captura surgió a partir de la información de quienes buscaban la jugosa recompensa ofrecida por Microsoft para otros gusanos. Una nueva versión del Sasser (la "E"), fue reportada apenas 10 horas después de confirmado el arresto, y se piensa que la misma fue liberada por el autor ahora detenido, poco antes de su captura. El adolescente, cuyo nombre no fue revelado, fue detenido el viernes en la aldea septentrional de Waffensen (Rotenburg), al norte de Alemania, después que informantes que buscaban una jugosa recompensa de parte de Microsoft aportaron información relevante a las autoridades. En una búsqueda en el hogar de la familia del acusado, los investigadores alemanes confiscaron su computadora personal, la cuál contiene el código fuente del gusano, punto crucial para comprometer seriamente al joven. "Como resultado del detallado testimonio del estudiante acerca de los virus que él creó y propagó, ha sido identificado claramente como su autor", dijo este sábado la oficina criminal de Hanover en una declaración pública. Su portavoz, Detlef Ehrike, agregó que la investigación es por la sospecha de sabotaje de computadoras, cargo que posee una pena máxima de cinco años de prisión. Después de ser interrogado, el adolescente fue liberado de otras acusaciones pendientes. Microsoft dijo que los informantes se contactaron el miércoles, ofreciendo información acerca del creador del gusano. Los investigadores de la compañía trabajaron con las autoridades alemanas, el FBI y agentes del Servicio Secreto, rastreando el origen del virus a partir del análisis de su código fuente, dijo Brad Smith, abogado principal de Microsoft. Smith no dijo cuántas personas aportaron información ni cómo ellos obtuvieron la misma. "Los informantes eran individuos que estaban enterados de quién era el autor, no llegaron a él a través de un análisis técnico", explicó Smith. Sasser es un gusano que se vale de una vulnerabilidad en Windows para propagarse. No llega por correo electrónico ni necesita ser ejecutado con un doble clic por un usuario desprevenido para infectar una computadora. Solo basta que la computadora esté conectada a Internet sin la protección de un cortafuego, y que esté ejecutando una versión de Windows XP o 2000 sin los últimos parches de seguridad de Microsoft instalados. Se estiman en más de 18 millones los equipos infectados por el Sasser apenas 72 horas después de la primera infección, ocurrida un sábado, cuando además en la mayoría de los países era feriado por conmemorarse el día de los trabajadores. Por esta razón, recién el lunes, cuando empresas y organizaciones comenzaron su jornada habitual de trabajo, se empezó a sentir todo el impacto y el verdadero alcance de la infección. Sasser hace que las computadoras infectadas se reinicien continuamente, impidiendo no solo su uso normal, sino también dificultando las tareas de desinfección. El adolescente dijo a los funcionarios que su intención original era crear un virus llamado "Netsky.A" para combatir al "Mydoom" y al "Bagle", borrándolos de las computadoras infectadas. En el transcurso de este esfuerzo, fue que surgió el Sasser. "El estudiante no pensó en las consecuencias o el daño resultante," dijeron los investigadores. El Netsky, es el gusano con el mayor reporte de equipos infectados en los últimos meses, y figura en los primeros lugares en la mayoría de los países incluida España y toda Latinoamérica. El Sasser afectó a bancos, hospitales, agencias de gobierno, aerolíneas, ferrocarriles, y millones de usuarios domésticos en el mundo entero, causando daños colaterales de billones de dólares, según algunas estimaciones. Sasser puede examinar automáticamente Internet en busca de computadoras con la vulnerabilidad mencionada, para luego enviarse a las mismas e infectarlas. La oficina del gobierno alemán que maneja la seguridad tecnológica en ese país, ha dicho que existen cuatro versiones del Sasser. Según el portavoz Michael Dickopf, la primera versión parece creada por un aficionado. Las últimas tienen notorias diferencias en su capacidad para causar daño. La policía confirmó que el adolescente alemán es el responsable de las cuatro versiones del Sasser, además de todas las variantes conocidas del Netsky. Investigadores de Microsoft dijeron a los informantes, que ellos recibirían sus 250,000 dólares si la información aportada fue la que finalmente contribuyó al arresto. En agosto del año pasado, la compañía había ofrecido dicha cifra por información que llevara a la captura del autor de otro gusano, el Blaster, pero nada había dicho hasta ahora sobre recompensas para capturar al autor del Sasser. Para Smith, este arresto "es un claro signo del funcionamiento de la política de las recompensas", y agregó: "Creemos que esto es un paso hacia adelante muy importante en la lucha de la industria contra la divulgación de código malicioso en Internet". Mientras tanto, fiscales alemanes en Stuttgart, dijeron que un hombre de 21 años, actualmente desocupado, fue detenido también el viernes en Loerrach, en la frontera de Alemania con Suiza, confesando haber creado junto con otros piratas informáticos, el gusano llamado "Agobot" (o Gaobot) y "Phatbot". Los fiscales, que actuaron después de recibir información de autoridades norteamericanas, dijeron que no existía ninguna indicación de que hubiera alguna relación entre esta persona y el autor del Sasser. * Último momento [09/05/2004, UTC/GMT 08:17] Una nueva versión del Sasser (la "E"), fue reportada apenas 10 horas después de confirmado el arresto, y en las primeras horas del domingo 9 de mayo se han empezado a recibir varios reportes de la misma. Se piensa que dicha versión fue liberada por el autor ahora detenido, poco antes de su captura. (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: www.enciclopediavirus.com/noticias/verNoticia.php?id=438 * Más información: Tras la pista de los creadores del Sasser http://www.vsantivirus.com/ev06-05-04.htm Preguntas frecuentes sobre el Sasser http://www.vsantivirus.com/faq-sasser.htm Las consecuencias inmediatas del gusano Sasser http://www.vsantivirus.com/ev04-05-04.htm El gusano Sasser, las lecciones no aprendidas http://www.vsantivirus.com/02-05-04.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Sasser.E. Se puede ejecutar en Windows 9x y Me _____________________________________________________________ http://www.vsantivirus.com/sasser-e.htm Nombre: W32/Sasser.E Tipo: Gusano de Internet Alias: Sasser.E, W32/Sasser-E, W32/Sasser.worm.e, Win32/Sasser.E, WORM_SASSER.E Fecha: 9/may/04 Plataforma: Windows NT, 2000, XP, 2003 Tamaño: 15,872 bytes (PECompact) Puertos: TCP 445, 1022 y 1023 Esta nueva versión del Sasser (la "D"), fue reportada apenas 10 horas después de confirmado el arresto de su autor, y se piensa que la misma fue liberada por el mismo poco antes de su captura. (ver "Capturados autores del Sasser, del Netsky y del Agobot", http://www.vsantivirus.com/ev-captura- sasser.htm). Las principales diferencias son que utiliza otro nombre para uno de los mutex creados, cambia el nombre del ejecutable y otros archivos, y también los puertos utilizados para su propagación. Otra diferencia, es que cada dos horas despliega un mensaje. Además intenta borrar las entradas en el registro creadas por el gusano Bagle, como lo hace el Netsky, del mismo autor. Igual que la variante "D", esta es capaz de escanear 5,120 direcciones IP por segundo. Posee una rutina mejorada para encontrar las computadoras vulnerables. Manda un PING (Packet INternet Groper), para comprobar la conexión antes de conectarse. Este cambio puede ocasionar que no se ejecute adecuadamente en algunas configuraciones de Windows 2000. Además, puede ejecutarse (pero no infectar) máquinas con Windows 95, 98 y Me. Aunque estos sistemas operativos no se puedan infectar con este gusano, si pueden ser utilizados para infectar sistemas vulnerables a los que ellos puedan conectarse. En este caso, será notorio una disminución del rendimiento en equipos con Windows 9x y Me, por la cantidad de hilos simultáneos que el gusano emplea para buscar equipos infectados. Esta posibilidad de ejecutarse en equipos a los que no puede infectar, aumenta las posibilidades de propagación, y hace a este tipo de gusano algo muy peligroso. En resumen, sólo necesita ejecutarse para propagarse, no requiere ser instalado en el equipo. Sasser es un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04- 011.htm). Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado. LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes, y "Sasser" es el primero que la utiliza. El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre: c:\windows\lsasss.exe NOTA 1: el verdadero LSASS.EXE está en "C:\WINDOWS\system32\lsass.exe" (carpeta SYSTEM32). NO LO CONFUNDA. Además el archivo creado por el gusano tiene tres "s" finales, en lugar de dos. NOTA 2: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). También crea los siguientes archivos: c:\ftplog.txt c:\windows\system32\#_update.exe (varias copias) Donde # es un número de cuatro o cinco dígitos, ejemplos: c:\windows\system32\15643_update.exe c:\windows\system32\12383_update.exe c:\windows\system32\2730_update.exe Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run lsasss.exe = c:\windows\lsasss.exe El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables. TCP/445 es el puerto por defecto para el servicio vulnerable, SMB (Server Message Block). Esta variante es capaz de escanear más de 5,120 direcciones por segundo. Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado. Esta versión utiliza una de las APIs de Windows (rutinas utilizadas para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo del equipo), para intentar evitar que la computadora se reinicie (efecto provocado por la infección). El gusano llama a esta API una vez por segundo durante las primeras 2 horas, para luego mostrar el siguiente mensaje: 1. Your computer is affected by the MS04-011 vulnerability 2. It can be that dangerous computer viruses similar the Blaster worm infect your computer 3. Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website 4. This is an message from the SkyNet Team for malicious activity prevention Luego de ello, Windows XP, muestra una ventana con un mensaje muy similar al siguiente: LSA Shell (Export Version) ha encontrado un problema y debe cerrarse. Sentimos los inconvenientes ocasionados. En Windows 2000 puede aparecer una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan): Apagar el sistema Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHY\SYSTEM Tiempo restante para el apagado: xx:xx:xx Mensaje El proceso del sistema C:\WINNT\system32\lsass.exe terminó de forma inesperada indicando código 0 Windows debe reiniciar ahora. El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit). Windows 9x, Me y NT, no son vulnerables, pero esta versión puede ejecutarse en máquinas con estos sistemas operativos, siendo los mismos utilizados para infectar a aquellos sistemas vulnerables a los que puedan conectarse. Cuando se ejecuta el gusano, es notoria la caída en el rendimiento del equipo. Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/1022. A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UPDATE.EXE, donde # es un número de cuatro o cinco dígitos), provocando la infección. El servidor FTP escucha por el puerto TCP/1023 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados. El archivo C:\FTPLOG.TXT registra todas las transacciones FTP realizadas. El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria: SkynetNotice Esta variante, intenta borrar del registro las siguientes entradas creadas por el gusano Bagle: HKCU\Software\Microsoft\Windows\CurrentVersion\Run "ssgrate.exe" "drvsys.exe" "Drvddll_exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "ssgrate.exe" "drvsys.exe" "Drvddll_exe" * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * IMPORTANTE: Instalar parches para la vulnerabilidad LSASS (MS04-011) antes de cualquier otra acción a tomar para la limpieza del gusano. MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Herramientas específicas de limpieza Descargue y ejecute cualquiera de estas herramientas en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla. http://www.vsantivirus.com/sasser-e.htm * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\ftplog.txt c:\windows\lsasss.exe c:\windows\system32\#_update.exe (varias copias) Donde # es un número de cuatro o cinco dígitos, ejemplos: c:\windows\system32\15643_update.exe c:\windows\system32\12383_update.exe c:\windows\system32\2730_update.exe NOTA 1: el verdadero LSASS.EXE está en "C:\WINDOWS\system32\lsass.exe" (carpeta SYSTEM32). NO LO CONFUNDA. Además el archivo creado por el gusano tiene tres "s" finales, en lugar de dos. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: lsasss.exe 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Más información: Preguntas frecuentes sobre el Sasser http://www.vsantivirus.com/faq-sasser.htm W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS http://www.vsantivirus.com/sasser-a.htm W32/Sasser.B. Primer gusano que usa vulnerabilidad LSASS http://www.vsantivirus.com/sasser-b.htm W32/Sasser.C. Variante recompilada del Sasser.B http://www.vsantivirus.com/sasser-c.htm W32/Sasser.D. Se puede ejecutar en Windows 9x y Me http://www.vsantivirus.com/sasser-d.htm Las consecuencias inmediatas del gusano Sasser http://www.vsantivirus.com/ev04-05-04.htm El gusano Sasser, las lecciones no aprendidas http://www.vsantivirus.com/02-05-04.htm Tras la pista de los creadores del Sasser http://www.vsantivirus.com/ev06-05-04.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Windang.A. Libera un documento en español _____________________________________________________________ http://www.vsantivirus.com/troj-windang-a.htm Nombre: Troj/Windang.A Tipo: Caballo de Troya Alias: Windang, TROJ_WINDANG.A, Win32/HLLW.Windang.A Plataforma: Windows 32-bit Tamaño: 49,152 bytes Fecha: 5/may/04 Se trata de un troyano escrito en Visual Basic, residente en memoria, que libera y abre un documento de Word adjunto a su cuerpo, durante su ejecución. También crea una copia de si mismo en la carpeta de Windows. Si un disquete sin protección contra escritura está presente en la unidad A:, el troyano puede copiarse a si mismo en dicho disquete. El troyano también crea un archivo HTML con un texto en español con varios colores. En la parte de arriba del texto es notorio un texto deslizante con el siguiente contenido: "Grupo GeDZac". El documento liberado cuando se ejecuta, heredará el nombre del archivo ejecutable que contenga el troyano (puede tener cualquier nombre), pero con extensión .DOC. Crea también el siguiente archivo: c:\windows\lsass.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). También crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Winlogon = c:\windows\lsass.exe IMPORTANTE: No confunda este archivo con C:\WINDOWS\SYSTEM32\LSASS.EXE, que es un archivo legítimo de Windows, presente en la carpeta SYSTEM32. Si existe un disquete en la unidad A:, y el mismo no tiene habilitada la protección contra escritura, el troyano intentará copiarse en dicho disquete. El troyano puede crear también el siguiente archivo: c:\MLHR_Corporation_GeDzAc.htm El archivo HTML, contiene un texto en español, y si se despliega, muestra un texto deslizante en varios colores (una marquesina), con el siguiente contenido: Grupo GeDZac También crea un archivo llamado GEDZAC.MLH, que parece servir de contador interno para las rutinas del troyano. * Reparación manual * Preparación 1. Descarga de PROCEXP.EXE Antes de eliminar este troyano, es necesario detener su ejecución en memoria. Puede usarse el administrador de tareas de Windows, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE. 2. Busque en la lista de procesos el que se llame "lsass.exe". 3. Pulse el botón derecho sobre ese proceso, y compruebe que el camino (path) indicado sea el siguiente: C:\WINDOWS\lsass.exe Nota: el verdadero LSASS.EXE está en "C:\WINDOWS\system32\lsass.exe" (carpeta SYSTEM32). Si es así NO LO BORRE. 4. Si en cambio el path mostrado es "C:\WINDOWS\lsass.exe", en la misma ventana pulse en el botón "Kill Process" para matar este proceso. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Winlogon = c:\windows\lsass.exe 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\lsass.exe IMPORTANTE: No borre C:\WINDOWS\SYSTEM32\LSASS.EXE, ya que es un archivo legítimo de Windows. * En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, y seleccione "Archivos o carpetas". 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: GeDzaC.mlh; MLHR_Corporation_GeDzAc.htm 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: GeDzaC.mlh; MLHR_Corporation_GeDzAc.htm 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados 4. Reitere estos pasos en cada disquete previamente utilizado * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1403 Año 8, domingo 9 de mayo de 2004