Mostrando mensaje 487     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1438 Año 8, domingo 13 de junio de 2004 Fecha: Domingo, 13 de Junio, 2004  12:19:31 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1438 Año 8, domingo 13 de junio de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Grave vulnerabilidad en Oracle 2 - W32/Gaobot.XP. Se copia como "wuagmsd.exe", usa LSASS 3 - Troj/Spy.Banker.AQ. Roba información bancaria 4 - VBS/Tante.A. Asunto: "RE: Importante" _____________________________________________________________ 1 - Grave vulnerabilidad en Oracle _____________________________________________________________ http://www.vsantivirus.com/vul-oracle-sql.htm Grave vulnerabilidad en Oracle Por Angela Ruiz angela@videosoft.net.uy Oracle E-Business Suite, es un conjunto de aplicaciones utilizado para la administración de modelos de bases de datos simples, aplicados al mundo de los negocios. Ayuda al registro y administración de clientes, servicios de distribución, inventarios, entregas, pagos, etc. Una vulnerabilidad en las versiones Oracle 67, Oracle Applications 11.0 y Oracle E-Business Suite Release 11i, 11.5.1 a 11.5.8, puede permitir que un atacante llegue a controlar la base de datos, mediante la inyección de código SQL dentro de formularios basados en la Web. SQL, (Structured Query Language), es un lenguaje especializado de programación que permite realizar consultas (queries) a la mayoría de las aplicaciones de bases de datos existentes. El fallo está clasificado como muy grave, ya que puede ser explotado por personas con pocos conocimientos, y la única solución es la aplicación inmediata del parche publicado, ya que no existen otras soluciones temporales conocidas, ni ningún mecanismo de autenticación que pueda mitigarlo. Esta vulnerabilidad explotable mediante la manipulación e inyección de comandos SQL, permite a un atacante manipular la base de datos poniendo código SQL dentro de campos de entrada de una página Web. Los clientes con aplicaciones de servidor expuestos a Internet son más vulnerables porque pueden ser atacados remotamente por cualquier persona desde un simple navegador. El fallo permite que también el propio sistema operativo pueda ver comprometida su seguridad. No son afectadas las versiones 11.5.9 y todas las liberadas posteriores. La solución es la aplicación del correspondiente parche (solo para usuarios registrados). Más información: Oracle E-Business Suite - Multiple SQL Injection Vulnerabilities http://www.integrigy.com/alerts/OraAppsSQLInjection.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Gaobot.XP. Se copia como "wuagmsd.exe", usa LSASS _____________________________________________________________ http://www.vsantivirus.com/gaobot-xp.htm Nombre: W32/Gaobot.XP Tipo: Gusano de Internet y caballo de Troya Alias: WORM_AGOBOT.XP, W32.HLLW.Gaobot.gen, Backdoor.Agobot.gen Fecha: 13/jun/04 Plataforma: Windows NT, 2000 y XP Puertos: TCP/135, TCP/445, TCP/80 Tamaño: 118,784 bytes Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de cuatro conocidas vulnerabilidades: MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm Vulnerabilidad RPC/DCOM (MS03-026) http://www.vsantivirus.com/vulms03-026-027-028.htm Vulnerabilidad en el Servicio Localizador (MS03-001) http://www.vsantivirus.com/vulms03-001-002-003.htm Falla crítica en servidores Microsoft IIS 5.0 (MS03-007) http://www.vsantivirus.com/vulms03-007.htm La falla en el componente LSASS (MS04-011), usada también por gusanos como Sasser, Cycle, Bobax, Korgo, etc., permite infectar equipos con Windows XP y 2000 sin el parche correspondiente instalado, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario. La segunda (MS03-026), es la misma falla de la que se aprovecha el Lovsan (Blaster) y otros. Utiliza el puerto TCP/135. La falla se produce por un desbordamiento de búfer en la interfase RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El parche existe desde julio de 2003. La tercera (MS03-001), cuyo parche está disponible desde enero de 2003, es explotada a través del puerto TCP/445. La falla ocurre en el sistema localizador RPC (Remote Procedure Call). En todos esos casos, un cortafuegos puede impedir la propagación. La cuarta falla (MS03-007), es un desbordamiento de búfer existente en la librería "ntdll.dll" utilizada por el componente WebDAV de Microsoft IIS 5.0, que permite que al enviar una solicitud al servidor, un intruso puede ser capaz de ejecutar código arbitrariamente en el contexto de seguridad local, menos crítico, dándole al atacante el control completo sobre el sistema. Con este gusano, un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC. Se ejecuta solo en Windows NT, 2000 y XP, e intenta finalizar los procesos de conocidos productos antivirus, cortafuegos y algunas utilidades del propio Windows. Se copia en el sistema infectado con el siguiente nombre: c:\windows\system32\wuagmsd.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Agrega las siguientes entradas en el registro HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Microsoft Update = "wuagmsd.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Update = "wuagmsd.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Microsoft Update = "wuagmsd.exe" Finaliza los siguientes procesos, correspondientes a conocidos antivirus y cortafuegos, además de otros programas y utilidades: msconfig.exe mscvb32.exe navapw32.exe navw32.exe netstat.exe PandaAVEngine.exe regedit.exe sysinfo.exe SysMonXP.exe wincfg32.exetaskmon.exe zapro.exe zonealarm.exe Intenta eliminar archivos asociados con otros gusanos, y sus respectivas claves en el registro. También finaliza los procesos con los siguientes nombres: bbeagle.exe d3dupdate.exe i11r54n4.exe irun4.exe MSBLAST.exe msblast.exe Penis32.exe rate.exe ssate.exe teekids.exe winsys.exe winupd.exe El gusano roba del PC infectado, las posibles identificadores y llaves (CD keys) de conocidos video juegos. El gusano posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles: - Ejecutar comandos en forma remota - Eliminar procesos seleccionados - Examinar el tráfico HTTP, FTP, e IRC (sniffer) - Finalizar servicios de Windows - Listar los procesos activos - Obtener archivos a través de FTP y HTTP - Obtener direcciones de correo de la computadora infectada - Obtener información del registro - Obtener un determinado URL - Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP) - Reiniciar la computadora - Robar contraseñas * Reparación manual * IMPORTANTE: Después de la limpieza, no conectar el equipo a Internet, hasta instalar los parches para las vulnerabilidades en el componente LSASS (MS04-011), y en la interfase RPC (Remote Procedure Call). Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces: MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm MS03-039 Ejecución de código en servicio RPCSS (824146) http://www.vsantivirus.com/vulms03-039.htm * Métodos para detener el reinicio de Windows La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad en el componente LSASS). Para evitarlo, siga cualquiera de estos métodos: 1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche). 2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter): shutdown -a * Cortafuegos Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT, y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Microsoft Update 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Microsoft Update 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 7. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Microsoft Update 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre el siguiente archivo: c:\windows\system32\wuagmsd.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * IMPORTANTE Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. También instale los parches mencionados más adelante. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano. * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Spy.Banker.AQ. Roba información bancaria _____________________________________________________________ http://www.vsantivirus.com/troj-spy-banker-aq.htm Nombre: Troj/Spy.Banker.AQ Tipo: Caballo de Troya Alias: Banker.AQ, Win32.Wessy, Trojan.Gletta.A, TrojanSpy.Win32.Banker.aq Fecha: 10/jun/04 Plataforma: Windows 32-bit Se trata de un troyano que intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado. Se propaga por medio de mensajes enviados en forma de spam, explotando un vulnerabilidad en el manejador MHTML del Outlook Express, que permite procesar cualquier archivo, incluido texto, como si fuera un HTML. De este modo es posible incluir un script en el archivo, y ejecutarlo en la zona local (Mi PC), con menores restricciones de seguridad. Esta vulnerabilidad está corregida por el último parche acumulativo de Microsoft para el Outlook Express (abril de 2004): MS04-013 Parche acumulativo para Outlook Express (837009) http://www.vsantivirus.com/vulms04-013.htm Cuando se ejecuta, el troyano examina si ya ha sido instalado en la máquina actual, buscando el archivo RSASEC.DLL en el directorio System (o System32) de Windows. Si no existe, crea dicho archivo: c:\windows\system\rsasec.dll NOTA: La ubicación de la carpeta System puede variar de acuerdo al sistema operativo instalado. "c:\windows\system" (por defecto) en Windows 9x/ME, "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003. Luego busca en el registro de Windows, la presencia de la siguiente clave: HKLM\Software\RSASec Dicha clave determina si el troyano ha enviado o no un correo electrónico al autor del mismo, con una notificación de su presencia. El mensaje incluye la dirección IP actual de la víctima. El troyano crea además los siguientes archivos: c:\windows\system\ntsvc.exe c:\windows\system\userlogon.exe c:\windows\system\wmiprvse.exe Y crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run wmiprvse.exe = c:\windows\system\wmiprvse.exe En Windows NT, 2000 y XP, crea también las siguientes entradas: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon shell = "explorer.exe c:\windows\system\ntsvc.exe" HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows run = c:\windows\system\userlogon.exe En Windows 9x y Me, estas claves pueden ser sustituidas por las respectivas entradas en los archivos SYSTEM.INI y WIN.INI. Cuando el usuario visita determinados sitios bancarios y financieros, el troyano comienza su rutina de captura de datos ingresados en las ventanas y formularios abiertos. El proceso se inicia cuando el troyano detecta una ventana abierta con alguno de estos nombres: ANZ Internet Banking - Logon Banesto Bank of China Citi - Sign On Citibank Australia HSBC in Hong Kong National Australia Bank National Internet Banking online@hsbc Sabadell Welcome to Citi Welcome to Citibank También si la dirección del sitio es alguna de las siguientes: https://olb.westpac.com.au/ib/ https://olb.westpac.com.au/ib/asp/ Lo capturado, es grabado en el siguiente archivo: c:\windows\system\rsacb.dll El archivo es luego enviado a la dirección electrónica del autor, usando el servidor SMTP smtp.mail.ru. * Reparación manual * Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\ntsvc.exe c:\windows\system\rsacb.dll c:\windows\system\userlogon.exe c:\windows\system\wmiprvse.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: wmiprvse.exe 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 5. Pinche en la carpeta "Winlogon" y en el panel de la derecha, busque la siguiente entrada bajo la columna "Nombre": Shell 6. Modifique el valor de "Shell" para que aparezca solo esto: Shell = Explorer.exe 7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows NT \CurrentVersion \Windows 8. Pinche en la carpeta "Windows" y en el panel de la derecha, busque y borre la siguiente entrada: run = c:\windows\system\userlogon.exe 9. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Modificar SYSTEM.INI * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo SYSTEM.INI en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre SYSTEM.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Usuarios de Windows 95, 98 y Me: 1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter. 2. Busque lo siguiente: [boot] shell = explorer.exe c:\windows\system\ntsvc.exe y déjelo así: [boot] shell = explorer.exe 3. Grabe los cambios y salga del bloc de notas * Modificar WIN.INI * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo WIN.INI en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre WIN.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Usuarios de Windows 95, 98 y Me: 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [windows], bórrelo. Por ejemplo: [Windows] run = c:\windows\system\userlogon.exe Debe quedar como: [Windows] run = 3. Grabe los cambios y salga del bloc de notas. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Instalar parche acumulativo de Outlook Express Para protegerse de las vulnerabilidades que explota este troyano/gusano, instale el último parche acumulativo de Outlook Express: MS04-013 Parche acumulativo para Outlook Express (837009) http://www.vsantivirus.com/vulms04-013.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - VBS/Tante.A. Asunto: "RE: Importante" _____________________________________________________________ http://www.vsantivirus.com/tante-a.htm Nombre: VBS/Tante.A Tipo: Gusano de Visual Basic Script Alias: Tante, VBS.Tante.A, VBS.Tante.A@mm Fecha: 29/may/04 Plataforma: Windows 32-bit Tamaño: 2 Kb Gusano escrito en Visual Basic Script, que se envía adjunto en un correo electrónico con asunto en español, a todas las direcciones encontradas en el equipo infectado. El mensaje tiene estas características: Asunto: RE: Importante Datos adjuntos: .vbs Texto del mensaje: Adjunto muy importante!!!!!!!!!! El adjunto no tiene nombre visible, y cuando es abierto por el usuario, se ejecuta copiándose en el directorio raíz del disco C: con los siguientes nombres: c:\ .vbs c:\je.vbs Luego, envía el mensaje ya visto, con su propio código como adjunto, a todos los contactos de la libreta de direcciones de Windows. No realiza ninguna otra acción o cambio en el sistema, ni modifica ninguna clave del registro, por lo tanto no se autoejecuta en próximos reinicios. Solo se activa cuando en forma explícita el usuario hace doble clic sobre él. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1438 Año 8, domingo 13 de junio de 2004