|
Mostrando mensaje 71
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1022, Año 7, Viernes 25 de abril de 2003 | | Fecha: | Jueves, 24 de Abril, 2003 22:11:29 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1022, Año 7, Viernes 25 de abril de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Coronex.B. Variante relacionada con antivirus
2 - Hoy viernes, nuevo sorteo de otra licencia de Nod32
_____________________________________________________________
1 - W32/Coronex.B. Variante relacionada con antivirus
_____________________________________________________________
http://www.vsantivirus.com/coronex-b.htm
Nombre: W32/Coronex.B
Tipo: Gusano de Internet
Alias: W32/Coronex.worm.b, I-Worm.Coronex.b, W32/Sars.B@mm,
W32/Coronex.worm.gen
Fecha: 24/abr/03
Plataforma: Windows 32-bit
Tamaño: 12,288 bytes
Este gusano, escrito en assembler, se propaga a través de
Internet, en mensajes de correo electrónico con un adjunto
infectado.
La diferencia con la versión anterior, W32/Coronex, es que
cambia los mensajes y la página de inicio del Internet
Explorer, así como los nombres de algunos archivos. En lugar
de hacer referencia a la pulmonía atípica (SARS), menciona en
sus mensajes a las principales casas de antivirus, y muestra
en el inicio del Internet Explorer un conocido fabricante de
antivirus.
Cuando se ejecuta se copia a si mismo en la carpeta "C:\My
Downloads" a partir de lo cuál puede utilizar otra forma de
propagación, vía programas de intercambio P2P como KaZaa,
BearShare, eDonkey, Morpheus, etc..
El archivo, un ejecutable en formato PE (Portable
Executable), se activa solo si el usuario hace doble clic
sobre él.
Cuando ello ocurre, el gusano se copia a si mismo en las
siguientes ubicaciones:
C:\Windows\virus.exe
También modifica el registro, para autoejecutarse en cada
reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
PC-Config32 = C:\Windows\virus.exe -A
"C:\Windows" puede variar de acuerdo a la versión de Windows
instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o
"C:\WinNT" en Windows NT/2000).
El procedimiento de instalación contiene algunos errores y en
ocasión no puede instalarse. A pesar de ello, si puede
activar su rutina de propagación.
Para enviar los mensajes infectados, el gusano utiliza una
conexión directa al servidor SMTP "ns.execulink.com".
Para obtener la lista de destinatarios, el gusano examina la
base de datos WAB (Windows Address Book), la libreta de
direcciones de Windows.
Esta rutina se ejecuta una vez en cada hora (exactamente cada
1 hora, 1 minuto, 1 segundo).
Los mensajes infectados poseen diferentes remitentes, asuntos
y textos, y el adjunto (el propio gusano), diferentes
nombres. Para encubrir su origen, las direcciones en el campo
"De:" son falsas, usándose la técnica conocida como "email
spoofing":
Versión 1
De: virus@nai.com
Asunto: virus
Texto: virus
Datos adjuntos: virus.exe
Versión 2
De: virus@symantec.com
Asunto: virus
Texto: virus
Datos adjuntos: virus.exe
Versión 3
De: virus@antivirus.com
Asunto: virus
Texto: virus
Datos adjuntos: virus.exe
Versión 4
De: virus@mcafee
Asunto: virus
Texto: virus
Datos adjuntos: virus.exe
Versión 5
De: virus@avp.ru
Asunto: virus
Texto: virus
Datos adjuntos: virus.exe
Versión 6
De: virus@rav.com
Asunto: virus
Texto: virus
Datos adjuntos: virus.exe
Versión 7
De: virus@drweb.com
Asunto: virus
Texto: virus
Datos adjuntos: virus.exe
El gusano se copia también en la carpeta "C:\My Downloads"
usando los siguientes nombres:
Age Of Mythology.exe
Battlefield 1942 (full).exe
Black HawkDown (full).exe
Command & Conquer: Generals.exe
Cossacks Full Version.exe
Cossacks Full Version.exe
Dark Age of Camelot.exe
Doom 3.exe
Grand Theft Auto 3 (full).exe
Jedi Knight II.exe
Master Of Orion.exe
Medel of Honor: Allied Assualt.exe
Oni full.exe
Quake 3 Full Version.exe
Rainbow 6 Full.exe
Return to Castle Wolfenstien (Full).exe
Starcraft full.exe
The Lord of the Rings.exe
The Sims: Unleashed.exe
Tribes 2 (full).exe
Ultima Online.exe
Unreal 2: The Awakening (full).exe
Unreal.exe
Warcraft III Full.exe
White and Black.exe
Estos archivos quedan disponibles para numerosas aplicaciones
de intercambio de archivos entre usuarios (Peer-To-Peer).
Una particularidad de este gusano (de solo 12 Kb), es que
luego de copiarse con esos nombres, agrega varios megabytes
(hasta 270 Mb o más) al tamaño total del archivo, para
engañar al usuario que piensa estar descargando un programa
completo.
Si no existe la carpeta "C:\My Downloads", el gusano se copia
en la carpeta actual (donde se ejecutó).
El gusano modifica el registro para cambiar la página de
inicio del Internet Explorer:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page = http://www.bitdefender.com
Esto hará que cada vez que el Internet Explorer se inicie,
intente conectarse a la página de un conocido fabricante de
antivirus.
Cada vez que la computadora se reinicie, una ventana con el
siguiente texto, será mostrada (con el signo de error o sin
él, ver imágenes en http://www.vsantivirus.com/coronex-
b.htm):
SARS Virus
corona virus
* Reparación manual
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\Windows\virus.exe
C:\My Downloads\Age Of Mythology.exe
C:\My Downloads\Battlefield 1942 (full).exe
C:\My Downloads\Black HawkDown (full).exe
C:\My Downloads\Command & Conquer: Generals.exe
C:\My Downloads\Cossacks Full Version.exe
C:\My Downloads\Cossacks Full Version.exe
C:\My Downloads\Dark Age of Camelot.exe
C:\My Downloads\Doom 3.exe
C:\My Downloads\Grand Theft Auto 3 (full).exe
C:\My Downloads\Jedi Knight II.exe
C:\My Downloads\Master Of Orion.exe
C:\My Downloads\Medel of Honor: Allied Assualt.exe
C:\My Downloads\Oni full.exe
C:\My Downloads\Quake 3 Full Version.exe
C:\My Downloads\Rainbow 6 Full.exe
C:\My Downloads\Return to Castle Wolfenstien (Full).exe
C:\My Downloads\Starcraft full.exe
C:\My Downloads\The Lord of the Rings.exe
C:\My Downloads\The Sims: Unleashed.exe
C:\My Downloads\Tribes 2 (full).exe
C:\My Downloads\Ultima Online.exe
C:\My Downloads\Unreal 2: The Awakening (full).exe
C:\My Downloads\Unreal.exe
C:\My Downloads\Warcraft III Full.exe
C:\My Downloads\White and Black.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
PC-Config32
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde
Herramientas, Opciones de Internet, General, Página de
inicio, por una de su preferencia. O navegue hacia una página
de su agrado, pinche en Herramientas, Opciones de Internet,
General, y finalmente pinche en "Usar actual".
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Hoy viernes, nuevo sorteo de otra licencia de Nod32
_____________________________________________________________
http://www.vsantivirus.com/sorteo.htm
Sorteo de cinco licencias de Nod32
Hoy viernes 25 de abril se realizará un nuevo sorteo.
* Sorteos realizados:
1. 04/abr/03 - David León Magaña (México)
2. 11/abr/03 - Miguel Dominguez (España)
* Formulario de inscripción
1. Para participar en el sorteo de las tres licencias
restantes del antivirus Nod32 ingrese su dirección
electrónica, nombre y país en el formulario de la siguiente
página:
http://www.vsantivirus.com/sorteo.htm
2. En un plazo no mayor de 12 horas, recibirá un número
generado al azar con el que participará. Dicho número es
único y será válido hasta la finalización del sorteo. Sin
embargo, se aceptará solo un acierto por número.
3. Cada fin de semana hasta completar el sorteo de las cinco
licencias, todo número coincidente con las cifras finales del
primer premio del sorteo semanal de la Lotería Uruguaya
(http://www.loteria.gub.uy/default.htm), se hará acreedor de
la licencia válida por un año de un paquete personal del
Antivirus Nod32, cedido a VSAntivirus por Ontinet.com, S.L,
distribuidor exclusivo en España del mismo.
4. En caso de no coincidir ningún número con el primer
premio, se hará acreedor el más cercano al mismo y se
publicará su nombre en nuestro sitio. Para evitar el SPAM, no
se mostrará su dirección de correo completa.
5. El ganador será avisado de los pasos siguientes para
hacerse de su premio. Su número no participará en el resto de
los sorteos hasta completar los cinco paquetes sorteados.
6. Podrán participar todos los suscritos a nuestro boletín, y
no se enviará más de un número por dirección suscrita.
7. Si la dirección electrónica utilizada no coincide con la
de un usuario registrado, no será enviado ningún número para
participar. Asegúrese de que la dirección es la misma que
figura al pie de cada boletín, donde dice : "Este boletín es
enviado a: [aquí va su dirección]"
8. Los sorteos se realizarán todos los viernes hasta entregar
las cinco licencias de Nod32.
* Más información:
Festejamos los 1000 regalando cinco licencias de Nod32
http://www.vsantivirus.com/sorteo-1000.htm
¡Ya hay otro feliz poseedor del antivirus Nod32!
http://www.vsantivirus.com/ganadores.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1022, Año 7, Viernes 25 de abril de 2003
|
Responder a este mensaje
