Mostrando mensaje 491     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1442 Año 8, jueves 17 de junio de 2004 Fecha: Jueves, 17 de Junio, 2004  11:06:59 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1442 Año 8, jueves 17 de junio de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Troj/Bamer.C. Roba información de acceso a bancos 2 - Troj/Bamer.A. Roba información de acceso a bancos 3 - W32/Protoride.O. Se propaga por recursos compartidos 4 - EPOC/Cabir.B. El primer gusano de teléfonos móviles _____________________________________________________________ 1 - Troj/Bamer.C. Roba información de acceso a bancos _____________________________________________________________ http://www.vsantivirus.com/troj-bamer-c.htm Nombre: Troj/Bamer.C Tipo: Caballo de Troya Alias: Bamer.C, PWSteal.Bamer.C, Win32/Bamer.C, PWS:Win32/Bamer, TROJ_BAMER.C, TROJ_BANCOS Fecha: 16/jun/04 Plataforma: Windows 32-bit Tamaño: 576,898 bytes Caballo de Troya que roba contraseñas y otra información crítica, cuando el usuario visita ciertas páginas de Internet, generalmente instituciones bancarias. Cuando el troyano se ejecuta, crea el siguiente archivo en el sistema infectado: c:\windows\system\WIN.EXE NOTA: El troyano utiliza "c:\windows\system" en cualquier sistema infectado, incluso Windows NT, 2000 y XP. Si no existe esa carpeta, la crea antes. También crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows, y para almacenar información del propio programa: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run winzip = c:\windows\system\win.exe HKEY_CURRENT_USER\winzip Una vez en memoria, monitorea las ventanas que sean abiertas con el Internet Explorer, y cuando alguna tenga relación con la lista mostrada a continuación (URLs o títulos de las ventanas), captura todo lo que el usuario ingrese en cualquier página allí desplegada: http://www.netmastersllc.com https://bankline.itau.com.br/GRIPNET/gracgi.exe https://www2.bancobrasil.com.br/aapf/aai/login.pbk AAPF - Microsoft Internet Explorer Bradesco - Microsoft Internet Explorer Frente - Microsoft Internet Explorer Gerenciador Financeiro - Microsoft Internet Explorer Internet Banking Caixa - Microsoft Internet Explorer Mica Federal - Microsoft Internet Explorer Lo capturado, es enviado por correo electrónico a un usuario remoto. Utiliza para ello su propio motor SMTP. * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre el siguiente archivo: c:\windows\system\WIN.EXE NOTA: No confunda WIN.EXE con WIN.COM, un archivo legítimo en algunas versiones de Windows. Para ello, asegúrese de ver todas las extensiones, como se explica más adelante en "Mostrar las extensiones verdaderas de los archivos". Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: winzip = c:\windows\system\win.exe 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \winzip 5. Pinche en la carpeta "winzip" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Troj/Bamer.A. Roba información de acceso a bancos _____________________________________________________________ http://www.vsantivirus.com/troj-bamer-a.htm Nombre: Troj/Bamer.A Tipo: Caballo de Troya Alias: Bamer, PWSteal.Bamer.A, Win32/Bamer.A, PWS:Win32/Bamer Fecha: 16/jun/04 Plataforma: Windows 32-bit Tamaño: 402,808 bytes; 260,096 bytes Caballo de Troya que roba contraseñas y otra información crítica, cuando el usuario visita ciertas páginas de Internet, generalmente instituciones bancarias. Una indicación de una posible infección, es la aparición del siguiente mensaje: Invalid Operation at 0000:FF15 Cuando el troyano se ejecuta, crea los siguientes archivos en el sistema infectado: c:\windows\system\azip32.dll c:\windows\system\mfc91.dll c:\windows\system\mstask32.exe c:\windows\system\ole32a.dll c:\windows\system\regxp.reg Donde AZIP32.DLL es una librería legítima, utilizada por las rutinas del troyano. MFC91.DLL y OLE32A.DLL son los componentes del "keylogger" (captura de la salida del teclado) y MSTASK32.EXE es el archivo principal. NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). El troyano crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RunOnce = c:\windows\system\mstask32.exe Una vez en memoria, monitorea las ventanas que sean abiertas con el Internet Explorer, y cuando alguna tenga relación con la lista de nombres mostrada a continuación, captura todo lo que el usuario ingrese en cualquier página desplegada: Abn Amazoniacelular Americanas Aviso Banco Bancobrasil Bancoreal Banespa Bankboston Bb.Com Bcn Bradesco Caixa.Gov Citybank Hsbc Itau Nbt Nossacaixa.Com Oi.Com.Br Santander Serasa Spc Submarino Tco.Net.Br Tim.Com.Br Unibanco Vivo-Sp.Com.Br La captura, es almacenada en el siguiente archivo: \TEMP\recado.txt NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. El archivo RECADO.TXT es enviado por correo electrónico a un servidor en Brasil. Utiliza para ello su propio motor SMTP. * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\azip32.dll c:\windows\system\mfc91.dll c:\windows\system\mstask32.exe c:\windows\system\ole32a.dll c:\windows\system\regxp.reg \TEMP\recado.txt NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: RunOnce = c:\windows\system\mstask32.exe 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Protoride.O. Se propaga por recursos compartidos _____________________________________________________________ http://www.vsantivirus.com/protoride-o.htm Nombre: W32/Protoride.O Tipo: Gusano y caballo de Troya de acceso remoto Alias: Protoride.O, W32.Protoride.Worm, Win32/Protoride.O, WORM_PROTORIDE.O Fecha: 16/jun/04 Plataforma: Windows 32-bit Tamaño: 59,392 bytes (UPX) Se propaga a través de recursos compartidos en redes, intentando acceder a ellos utilizando diferentes nombres de usuario y contraseñas incluidos en su propio código. Posee capacidad de acceso remoto clandestino por puerta trasera (backdoor). Si el acceso es exitoso, se copia en dichos equipos con el nombre de WINMNGR.EXE. Posee su propio cliente IRC (Internet Relay Chat), con el cuál intenta acceder a un determinado servidor de IRC. Una vez conectado a él, envía mensajes privados a un usuario remoto, notificándolo de su presencia, y queda a la espera de posibles comandos. Los comandos disponibles están en español, y permiten acciones como el robo de información confidencial del usuario infectado, tales como contraseñas, nombres de usuario, etc. El gusano intenta copiarse en los siguientes directorios, con el nombre de WINMNGR.EXE: \Documents and Settings\All Users\KSynnistS-valikko\Ohjelmat\KSynnistys\ \Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\ \Documents and Settings\All Users\Menu DTmarrer\Programmes\DTmarrage\ \Documents and Settings\All Users\Menu Iniciar\Programas\Iniciar\ \Documents and Settings\All Users\Menú Inicio\Programas\Inicio\ \Documents and Settings\All Users\Menu Start\Programma's\Opstarten\ \Documents and Settings\All Users\Menu Start\Programy\Autostart\ \Documents and Settings\All Users\Menuen Start\Programmer\Start\ \Documents and Settings\All Users\Start Menu\Programlar\BASLANGI \Documents and Settings\All Users\Start Menu\Programs\StartUp\ \Documents and Settings\All Users\Start-meny\Programmer\Oppstart\ \Documents and Settings\All Users\Start-menyn\Program\Autostart\ \Dokumente und Einstellungen\All Users\Startmen \Programme\Autostart\ \WIN95\KSynnistS-valikko\Ohjelmat\KSynnistys\ \WIN95\Menu Avvio\Programmi\Esecuzione automatica\ \WIN95\Menu DTmarrer\Programmes\DTmarrage\ \WIN95\Menu Iniciar\Programas\Iniciar\ \WIN95\Menú Inicio\Programas\Inicio\ \WIN95\Menu Start\Programma's\Opstarten\ \WIN95\Menu Start\Programy\Autostart\ \WIN95\Menuen Start\Programmer\Start\ \WIN95\Start Menu\Programlar\BASLANGI \WIN95\Start Menu\Programs\StartUp\ \WIN95\Startmen \WIN95\Start-meny\Programmer\Oppstart\ \WIN95\Start-menyn\Program\Autostart\ \WIN98\KSynnistS-valikko\Ohjelmat\KSynnistys\ \WIN98\Menu Avvio\Programmi\Esecuzione automatica\ \WIN98\Menu DTmarrer\Programmes\DTmarrage\ \WIN98\Menu Iniciar\Programas\Iniciar\ \WIN98\Menú Inicio\Programas\Inicio\ \WIN98\Menu Start\Programma's\Opstarten\ \WIN98\Menu Start\Programy\Autostart\ \WIN98\Menuen Start\Programmer\Start\ \WIN98\Start Menu\Programlar\BASLANGI \WIN98\Start Menu\Programs\StartUp\ \WIN98\Startmen \WIN98\Start-meny\Programmer\Oppstart\ \WIN98\Start-menyn\Program\Autostart\ \WINDOWS.000\Menu Iniciar\Programas\Iniciar\ \WINDOWS.000\Menú Inicio\Programas\Inicio\ \WINDOWS.000\Start Menu\Programs\StartUp\ \WINDOWS.000\Startmen \WINDOWS\KSynnistS-valikko\Ohjelmat\KSynnistys\ \WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\ \WINDOWS\Menu DTmarrer\Programmes\DTmarrage\ \WINDOWS\Menu Iniciar\Programas\Iniciar\ \WINDOWS\Menú Inicio\Programas\Inicio\ \WINDOWS\Menu Start\Programma's\Opstarten\ \WINDOWS\Menu Start\Programy\Autostart\ \WINDOWS\Menuen Start\Programmer\Start\ \WINDOWS\Start Menu\Programlar\BASLANGI \WINDOWS\Start Menu\Programs\StartUp\ \WINDOWS\Startmen \WINDOWS\Start-meny\Programmer\Oppstart\ \WINDOWS\Start-menyn\Program\Autostart\ \WINME\KSynnistS-valikko\Ohjelmat\KSynnistys\ \WINME\Menu Avvio\Programmi\Esecuzione automatica\ \WINME\Menu DTmarrer\Programmes\DTmarrage\ \WINME\Menu Iniciar\Programas\Iniciar\ \WINME\Menú Inicio\Programas\Inicio\ \WINME\Menu Start\Programma's\Opstarten\ \WINME\Menu Start\Programy\Autostart\ \WINME\Menuen Start\Programmer\Start\ \WINME\Start Menu\Programlar\BASLANGI \WINME\Start Menu\Programs\StartUp\ \WINME\Startmen \WINME\Start-meny\Programmer\Oppstart\ \WINME\Start-menyn\Program\Autostart\ También modifica la siguiente entrada en el registro para ejecutarse cada vez que se accede a un archivo .EXE: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Windows Taskbar Manager = [camino y nombre del gusano] El gusano se propaga por redes locales, copiándose en todos los recursos compartidos con permisos de escritura disponibles. Si existen contraseñas, intenta con varios nombres de usuario y claves predeterminadas, disponibles en su código. Utiliza su propio cliente IRC para conectarse al servidor "irc.terra.com.ar", donde crea un canal especial o una sala de chat. Luego envía un mensaje privado a un usuario determinado. Cualquier usuario que tenga acceso al canal creado, puede ingresar a los equipos infectados, pudiendo realizar cualquiera de las siguientes acciones: - Descargar y enviar archivos - Enumerar cuentas de acceso telefónico - Examinar direcciones IP - Finalizar la ejecución del propio troyano - Listar las conexiones TCP actuales - Listar los procesos en ejecución - Obtener información del sistema infectado - Ocultar o mostrar ventanas de programas - Realizar ataques de denegación de servicio (DoS) - Realizar ataques flood con paquetes UDP - Robar contraseñas La información robada incluye lo siguiente: - Cantidad de memoria instalada - Contraseñas del sistema y de redes (usa API indocumentado) - Datos de las cuentas de conexión telefónica - Idioma del sistema operativo - Lista de actuales sesiones de red - Lista de procesos en ejecución - Tipo y velocidad del procesador - Versión instalada del sistema operativo El gusano contiene en su código el siguiente texto: Creado Orgullosamente en Argentina - Made In Argentina BeyonD aDvanceD TechNoloGies ProtoType v2.3.0 build 500 Pty2Ride TechNoloGieS 2003 * Reparación manual Estos pasos deben ser repetidos en cada computadora conectada a la misma red local de la maquina infectada. Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus (preparación) 1. Actualice sus antivirus con las últimas definiciones 2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 3. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 4. Borre los archivos detectados como infectados por el virus. * Editar el registro 1. Desde Inicio, Ejecutar, teclee REGEDIT y pulse Enter 2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche sobre la carpeta "Run". Borre la siguiente entrada en el panel de la derecha: Windows Taskbar Manager = [camino y nombre del gusano] 4. Cierre el editor del registro. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar los archivos creados por el gusano. * En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: WINMNGR.EXE 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: WINMNGR.EXE 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - EPOC/Cabir.B. El primer gusano de teléfonos móviles _____________________________________________________________ http://www.vsantivirus.com/epoc-cabir-b.htm Nombre: EPOC/Cabir.B Tipo: Gusano Alias: Cabir, EPOC.Cabir, EPOC.CABIR, EPOC.Cabir.A, EPOC.Cabir.B, EPOC/Cabir.A, Epoc/Cabir.A.worm, EPOC_CABIR, EPOC_CABIR.A, Symb/Cabir-A, Symbian/Cabir, Symbian/Cabir.a, Symbian/Cabir.b, Worm.Symbian.Cabir, Worm.Symbian.Cabir.a Fecha: 16/jun/04 Plataforma: EPOC, Nokia Series 60 Tamaño: 15,092 bytes Variante similar al Cabir.A. Solo cambian los mensajes que el gusano muestra al instalarse o ejecutarse. Se trata de la "prueba de concepto" de un gusano capaz de propagarse por servicios Bluetooth, en dispositivos que utilicen el sistema operativo Symbian. Al ser solo una demostración, el gusano, aunque totalmente funcional, no posee ninguna carga destructiva (salvo el gasto de baterías por el constante uso que hace del equipo). Tampoco existen reportes de que se esté propagando, y solo se ha distribuido una versión de laboratorio. Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance de voz y datos entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles, impresoras, escáneres, cámaras digitales e incluso dispositivos domésticos, a través de una banda disponible a nivel global (2,4 Ghz) y mundialmente compatible. Los síntomas de una infección son una actividad frecuente (cada 15 o 20 segundos), originada desde un móvil infectado por el gusano. Algunos de los teléfonos móviles afectados: Nokia 3650, 3600 Nokia 3660, 3620 Nokia 6600 Nokia 6620 Nokia 7610 Nokia 7650 Nokia N-Gage Panasonic X700 Sendo X Siemens SX1 Afecta productos de la Serie 60 v0.9, lo que abarca todos los dispositivos existentes de la serie 60, que usen Symbian OS 6.1 o superior. Cuando se ejecuta, muestra en la pantalla del móvil el mensaje "caribe". Luego, inicia la búsqueda de otros dispositivos conectados, que usen la tecnología "Bluetooth". Si localiza alguno, se enviará a si mismo al primer dispositivo que encuentre. No envía más copias. Aunque también puede copiarse en dispositivos que empleen la tecnología Bluetooth, pero con otro sistema operativo, el gusano no se propagará desde dicho dispositivo. El gusano llega como un archivo .SIS y se instala por si solo en la carpeta APPS (aplicaciones). Cuando ello sucede, se despliegan en la pantalla del teléfono móvil, una serie de mensajes. Estos mensajes advierten al usuario de la "posible naturaleza maliciosa" del archivo recibido, antes de instalarlo. Una vez instalado y activo, puede ser visto desde la lista de aplicaciones con el nombre de "caribe": [ver imagen http://www.vsantivirus.com/epoc-cabir-b.htm] Si el usuario cancela la instalación, aparece la bandeja de nuevo correo ("1 new message"). El mensaje contiene el archivo CARIBE.SIS. El archivo CARIBE.SIS se instala a si mismo en la carpeta APPS. La extensión .SIS es utilizada por el sistema operativo EPOC para las instalaciones. Estos son los archivos creados por el gusano: c:\system\apps\caribe\caribe.app c:\system\apps\caribe\flo.mdl c:\system\apps\caribe\caribe.rsc También crea las siguientes carpetas y archivos: c:\system\symbiansecuredata\caribesecuritymanager\caribe.app c:\system \symbiansecuredata\caribesecuritymanager\caribe.rsc c:\system\recogs\flo.mdl c:\system\symbiansecuredata\caribesecuritymanager\caribe.sis El gusano no puede catalogarse de un serio riesgo, por varias razones: 1. Una comunicación "Bluetooth" no está habilitada por defecto. 2. El rango de transmisión es corto en distancia, por la propia naturaleza del sistema "Bluetooth". 3. "Bluetooth" utiliza un mecanismo de comunicación entre pares. Dispositivos fuera de ese par, requieren un PIN para confirmar el acceso. 4. Aceptar una transmisión "Bluetooth", requiere una confirmación manual. * Eliminación manual Para eliminar el gusano de un dispositivo infectado, siga estos pasos: 1. Seleccione la opción "caribe" de la lista de aplicaciones. [ver imagen http://www.vsantivirus.com/epoc-cabir-b.htm] 2. Seleccione "Cancel" (Exit caribe?) y confirme con "Yes". 3. Borre los siguientes archivos utilizando el manejador de archivos (file manager): c:\system\apps\caribe\caribe.app c:\system\apps\caribe\flo.mdl c:\system\apps\caribe\caribe.rsc c:\system\Symbiansecuredata\Caribesecuritymanager\Caribe.app c:\system\Symbiansecuredata\Caribesecuritymanager\Caribe.rsc c:\system\Recogs\Flo.mdl c:\system\Symbiansecuredata\Caribesecuritymanager\Caribe.sis Aunque el sistema por defecto se instala en la unidad C, esto puede cambiar en algunos casos. Si no puede borrar estos archivos, apague y vuelva a encender su dispositivo. * Relacionados: Primer gusano para teléfonos móviles http://www.vsantivirus.com/ev-15-06-04.htm Predicciones de seguridad y la naturaleza humana http://www.vsantivirus.com/ev-predicciones.htm EPOC/Cabir.A. El primer gusano de teléfonos móviles http://www.vsantivirus.com/epoc-cabir-a.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1442 Año 8, jueves 17 de junio de 2004