Mostrando mensaje 517     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1468 Año 8, martes 13 de julio de 2004 Fecha: Martes, 13 de Julio, 2004  14:50:54 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1468 Año 8, martes 13 de julio de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Múltiples vulnerabilidades en Internet Explorer 2 - Bill Gates: ¿Qué hace Microsoft para prevenir el spam? 3 - W32/Bagle.AA. Se propaga por e-mail y P2P 4 - W32/Lovgate.AJ. Usa e-mail y recursos compartidos _____________________________________________________________ 1 - Múltiples vulnerabilidades en Internet Explorer _____________________________________________________________ http://www.vsantivirus.com/vul-ie-13-07-04.htm Múltiples vulnerabilidades en Internet Explorer Por Angela Ruiz angela@videosoft.net.uy Secunia ha publicado los reportes de múltiples vulnerabilidades en Internet Explorer de Microsoft, que permiten que usuarios maliciosos puedan eludir las restricciones de seguridad y comprometer a los sistemas vulnerables. 1. Es posible redireccionar una función a otra función con el mismo nombre, permitiendo que un atacante, desde una página web modificada adecuadamente, pueda ejecutar determinadas acciones sin las restricciones normales de seguridad impuestas en el Internet Explorer. Una explotación exitosa, permite la ejecución de un script con código arbitrario en el contexto de otro sitio. Esto puede usarse para ejecutar código en un sitio de confianza, aún cuando el sitio visitado no se encuentra en dicha zona. 2. Sitios maliciosos pueden engañar a un usuario desprevenido, para realizar acciones como "arrastrar y soltar", o hacer clic sobre un recurso, sin su conocimiento. Se ha proporcionado un ejemplo, que permite a un sitio agregar enlaces a la lista de Favoritos, sin la intervención directa del usuario. Sin embargo, la acción maliciosa podría aplicarse con cualquier otro recurso, incluso destructivo. Se trata de una variante de un fallo reportado anteriormente. Una prueba de concepto, demuestra que esto puede combinarse con la vulnerabilidad en "shell:" (ver "Shell.Application, burla el parche de Microsoft", http://www.vsantivirus.com/vul-shellapplication.htm) 3. Es posible inyectar un script con código arbitrario en el enlace Canales de Favoritos, el cuál se ejecuta cuando un Canal es agregado. El script se ejecuta en la zona de seguridad local (Mi PC). 4. Es posible colocar contenido arbitrario sobre cualquier otra ventana o caja de diálogo, utilizando la función "Window.createPopup()". Esto puede utilizarse para alterar la apariencia de las cajas de diálogo y otras ventanas mostradas. Una explotación satisfactoria de esto, puede engañar a un usuario desprevenido para que ejecute programas sin advertencia alguna, o realice otras acciones bajo engaños (ingreso de datos críticos en falsas ventanas por ejemplo). 5. Es posible que sitios maliciosos inyecten un script en la zona de seguridad local, utilizando un marcador que se inserta en una página Web apuntando a una determinada dirección URL. Se ha reportado que esto afecta al Internet Explorer 6 ejecutándose bajo Windows XP SP2 (Release Candidate versión beta). Este problema no ha sido confirmado en Windows XP SP1 con todos los parches al día. Todas estas vulnerabilidades, menos la 5, han sido confirmados en Windows XP SP1 con Internet Explorer 6, con todas las actualizaciones instaladas. Versiones anteriores de estos programas, también podrían ser afectadas. Secunia informa que son vulnerables las siguientes versiones del Internet Explorer: - Microsoft Internet Explorer 5.01 - Microsoft Internet Explorer 5.5 - Microsoft Internet Explorer 6 No hay solución de parte de Microsoft a la fecha de publicación de este artículo. * Sugerencias: 1. Actualizar los parches publicados por Microsoft desde Windows Update. 2. Configurar el "kill bit" de "ADODB.Stream", como se indica en el siguiente artículo: Todo sobre ADODB.Stream y como proteger su PC http://www.vsantivirus.com/faq-adodbstream.htm 3. Configurar el "kill bit" de "Shell.Application", como se indica en el siguiente artículo: Shell.Application, burla el parche de Microsoft http://www.vsantivirus.com/vul-shellapplication.htm 4. Configurar el Internet Explorer como se indica en el siguiente artículo: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm 5. Configurar la Zona de seguridad local (Mi PC) sin ActiveX (como se indica en el punto 4), siguiendo las instrucciones del siguiente artículo: Sobre las zonas de seguridad en Windows http://www.vsantivirus.com/zonas-ie.htm 6. Ser cauteloso a la hora de agregar sitios de confianza, al seguir los pasos que se indican en el punto 4. 7. No seguir enlaces a sitios sugeridos en mensajes de cualquier correo electrónico no solicitado, aún cuando éste provenga de conocidos. 8. Ejecutar un cortafuegos que también controle el tráfico de salida (el cortafuegos integrado de Windows XP solo controla el tráfico entrante). ZoneAlarm es un buen recurso, y su uso es gratuito para usuarios personales (ver "Cómo configurar Zone Alarm", http://www.vsantivirus.com/za.htm) 9. Utilizar antivirus y actualizarlo constantemente (sugerimos una actualización automática cada una hora). Si utiliza conexión telefónica, al menos hágalo CADA VEZ que se conecta a Internet. * Créditos: 1, 2 y 3, Paul (greyhats) 4, Georgi Guninski * Referencias: Microsoft Internet Explorer Multiple Vulnerabilities http://secunia.com/advisories/12048/ * Relacionados Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm Todo sobre ADODB.Stream y como proteger su PC http://www.vsantivirus.com/faq-adodbstream.htm Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm Sobre las zonas de seguridad en Windows http://www.vsantivirus.com/zonas-ie.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Bill Gates: ¿Qué hace Microsoft para prevenir el spam? _____________________________________________________________ http://www.vsantivirus.com/13-07-04.htm Bill Gates: ¿Qué hace Microsoft para prevenir el spam? Recientemente Bill Gates publicó en "Executive E-mail" (un boletín de Microsoft con opiniones del propio Gates, Steve Ballmer y otros ejecutivos), la siguiente carta referente a los avances y esfuerzos que realizan Microsoft y otras organizaciones, relacionados con la eliminación de los correos no deseados, el spam. La versión original puede ser obtenida en el siguiente enlace: http://www.microsoft.com/mscorp/execmail/2004/06-28antispam.asp 28 de junio de 2004 Mantener y mejorar los beneficios del correo electrónico Informe del avance al día de hoy Por Bill Gates Me gustaría ponerlo al día sobre el avance que Microsoft y nuestra industria están logrando para frenar la epidemia de los correos electrónicos no deseados. Desde que envié un mensaje a los clientes sobre este tema hace un año, hemos realizado avances importantes frente al correo basura. Sigue siendo un problema importante, una fuga costosa de tiempo y recursos y, al ser un portador de gusanos y virus, una importante amenaza para la seguridad de sus PC. La buena noticia es que todos los días se están bloqueando miles de millones de correos electrónicos no deseados, y el envío de correos basura se ha convertido en un negocio cada vez más difícil y menos remunerado. Gran parte de las mejoras que han experimentado los clientes de Microsoft hasta el momento se deben a una amplia implementación de SmartScreen, nuestra avanzada tecnología para filtrar los correos electrónicos no deseados. SmartScreen proporcionó un gran beneficio a los usuarios de MSN 8 y 9, MSN Premium. Desde que Hotmail lo implementó hace seis meses, SmartScreen ha bloqueado más del 95% de los correos electrónicos no deseados entrantes, un promedio de casi 3 mil millones de mensajes por día. Debido a que consideramos que SmartScreen es fundamental para combatir los correos electrónicos no deseados, recientemente lo hemos puesto al alcance de todos los usuarios de Exchange Server 2003 de forma gratuita, a través de una descarga en Exchange Intelligent Message Filter de la página www.microsoft.com/exchange. Sin embargo, las acciones que llevan a cabo las personas que han enviado estos correos electrónicos no deseados durante los últimos años reafirmaron nuestra convicción de que no son suficientes las tecnologías actuales de filtrado. Al saber que únicamente un pequeño porcentaje de sus envíos pasarán los filtros actuales, las personas que envíen correos electrónicos no deseados respondieron con un gran aumento en el volumen de correos electrónicos que envían. De manera que ahora las redes se cargan con una mayor cantidad de correo basura que antes. De acuerdo con algunas encuestas, el tráfico de correo electrónico ahora consiste de cerca de cuatro correos no deseados por cada correo legítimo. Es claro, debemos encontrar nuevas formas de responder a los correos no deseados. Microsoft trabaja en varias tecnologías y estrategias nuevas, las cuales consideramos que generarán una mejora importante. Debido a que usted se suscribió para que le enviáramos correos electrónicos ejecutivos, me gustaría compartir algunas actividades que estamos realizando. * Visión tecnológica de Microsoft para combatir los correos no deseados Recientemente, Anti-Spam Technical Alliance "Alianza"- un grupo de industrias que incluye AOL, Yahoo, EarthLink, Comcast, British Telecom y Microsoft- logró un triunfo fundamental en este esfuerzo. Los miembros de la Alianza, quienes nos proporcionan una gran parte de los buzones de correo electrónico al mundo, aprobaron un conjunto de mejores prácticas para combatir el correo no deseado en los proveedores de servicios de correo electrónico y remitentes de grandes volúmenes. Microsoft y otros líderes de la Alianza también acordaron promover una gran cantidad de pruebas de propuestas en la industria para combatir la falsificación de correos electrónicos, conocida como "falsificación de dominios" - es decir, el uso de direcciones falsas "De:" para hacer que el mensaje parezca de un remitente legítimo. Un paso clave para eliminar el truco favorito de las personas que envíen correos no deseados es llevar a cabo convenios sobre la necesidad de revisar los mensajes que provengan de firmas falsificadas, el truco que se utiliza para vencer los filtros contra correos no deseados y atraer a los destinatarios desprevenidos para abrir archivos ocultos que pueden contener gusanos y virus dañinos. La falsificación de dominios sucede en la mitad de todos los correos no deseados de la actualidad. Muchas personas se sorprenden de conocer que los sistemas de correos electrónicos actuales no puedan verificar si los mensajes realmente provienen de la fuente que se muestra en la línea "De:". Una manera de poder hacer esto es a través del ID del remitente estándar que Microsoft y otros líderes de la industria desarrollaron y están probando. No sólo ayudará a bloquear los correos no deseados, sino que también ayudará a frenar otros abusos, como las promociones fraudulentas por correo electrónico, que intentan hacer caer en la trampa a los destinatarios, proporcionando sus números de tarjetas de crédito y otro tipo de información privada. Al combatir la falsificación de dominio, el ID del remitente también nos ayudará a utilizar otras medidas para combatir el correo no deseado de manera más eficaz. Cuando se combina con el uso continuo de las listas "seguras" de los remitentes legítimos, la amplia adopción del ID de remitente implicará que los correos electrónicos deseados de los remitentes conocidos puedan pasar a los buzones con un filtro mínimo, y que el correo electrónico no deseado de remitentes desconocidos se pueda filtrar de manera más amplia. Conforme se afinan los filtros más a fondo, las nuevas tecnologías y sistemas de acreditación proporcionarán maneras para que los remitentes prueben que no son personas que envían correos no deseados, asegurando así la aceptación del correo electrónico legítimo de los remitentes desconocidos. En conjunto, estos cambios deben reducir dramáticamente el volumen de correos electrónicos no deseados que llegan a los buzones. Por lo tanto, un amplio enfoque para frenar correos no deseados requiere una combinación de estos elementos: - Asegurar que pase automáticamente el correo electrónico de las personas o compañías, con las que tiene correspondencia con frecuencia; - Permitir que los remitentes desconocidos ofrezcan pruebas que indiquen que no son personas que envíen correos no deseados; - Realizar mejoras constantes a la tecnología de filtrado; y - Evitar que el correo electrónico no deseado entre a las redes. Todos estos esfuerzos reducirán dramáticamente los costos de tratar con correo electrónico no deseado, en especial cuando se combinan con la aplicación de la fuerza civil y penal. Permítame explicarle los elementos clave de nuestro amplio enfoque en más detalle. * Permitir una prueba de identificación y propósito Como ya mencioné, las personas que envían correos electrónicos no deseados con frecuencia utilizan direcciones falsas en la línea de mensajes "De:". Sin embargo, la dirección real del Protocolo de Internet (IP) del remitente es más difícil de falsificar, y si lo puede revisar el servidor que recibe un mensaje sospechoso, se podrá eliminar una gran cantidad de interrupciones de dominios. Esta es la idea subyacente del ID del remitente estándar. Implica publicar las direcciones IP de los servidores de correo electrónico entrante en el directorio de Internet, el Sistema de nombre de dominio, que controla todas las entregas de correos electrónicos y que incrusta cada dirección IP del remitente en el "sobre" del correo electrónico, la información de ruta oculta que guía el correo electrónico a su destino. Los sistemas de correo electrónico del destinatario podrán verificar la autenticad del mensaje. Puede encontrar más información sobre cómo funciona el ID del remitente en www.microsoft.com/senderid. También estamos desarrollando medidas a través de las cuales los remitentes que no conozcan a los destinatarios pueden elegir "calificar" su correo electrónico con la finalidad de garantizar su entrega, al igual que demostrar que su PC realizó un conjunto especial de cálculos en el proceso de enviar el correo electrónico. Esto involucraría un gasto de tiempo de computación que podría ser trivial para la mayoría de los remitentes, pero que podría reducir en gran medida las operaciones de las personas que envían correos electrónicos no deseados, dado los volúmenes masivos de los correos electrónicos que envían. De otra manera, los servidores que reciben correo electrónico sospechoso podrían contestar al remitente con una advertencia, tal vez un rompecabezas de computación o uno que solamente pueda resolver un remitente humano. Si el remitente responde de manera adecuada, con una interacción humana o al invertir una pequeña cantidad de tiempo de computación, únicamente entonces el correo electrónico obtendría acceso al buzón del destinatario. Algunos han sugerido que dichos sistemas podrían abrir la puerta a proveedores de servicios para cargar una cuota a los remitentes por el envío de correos electrónicos. Consideramos firmemente que los cargos monetarios serían inadecuados y contarios al propósito fundamental de Internet, ya que es un medio extremadamente eficaz y poco costoso para establecer las comunicaciones. La meta en su lugar es frustrar el uso incorrecto de las personas que envíen correos electrónicos no deseados por Internet, de manera que todas las personas puedan seguir disfrutando de sus enormes beneficios. Empresas y otro tipo de organizaciones que envíen grandes cantidades de correos electrónicos legítimos, como los bancos, tienen una necesidad especial de distinguir sus mensajes del correo electrónico no deseado. Los servicios de acreditación de terceros pueden ayudar a certificar la identidad y el buen comportamiento de estos remitentes. En mayo, MSN Hotmail de Microsoft completó con éxito una prueba piloto de Bonded Sender, un programa de acreditación desarrollado por IronPort Systems y agilizado por TRUSTe, una organización privada no lucrativa. Para obtener la acreditación, un remitente debe cumplir con los estrictos estándares para seguir buenas prácticas de correo electrónico, y de esta manera enviar un vínculo a IronPort. El vínculo pierde sus derechos si el remitente no se adhiere a los estándares. Consideremos que estos y otros programas de acreditación nacientes, como el servicio de reputación de Brightmail, son desarrollos muy alentadores. * Evitar protegerse contra los ataques de correo no deseado Cada vez más, la tecnología puede ayudar a evitar que el correo no deseado, los virus y otras amenazas entren o sobrecarguen las redes. Este enfoque es la base para Microsoft Exchange Edge Services, una nueva tecnología que aísla a las redes de los correos electrónicos no deseados entrantes y de los ataques de los piratas de la informática. Edge Services incorporará nuestras tecnologías de filtrado y seguridad más recientes, y mejorará nuestra plataforma para soluciones de terceros contra los correos no deseados. Además, trabajamos en otras maneras para frustrar las artimañas favoritas de las personas que envían correos electrónicos no deseados. Por ejemplo, las personas que envían correos no deseados con frecuencia reúnen listas de direcciones de correo electrónico válidas a través de "ataques de cosecha de diccionario", enviando correos no deseados a una gran variedad de nombres de usuarios dentro de una organización o servicio de correo electrónico, y después enviando una mayor cantidad de correos electrónicos no deseados a las direcciones válidas (es decir, aquellos que no se devuelven como correos que no se pueden entregar). Estamos desarrollando software para detectar estos ataques de diccionarios y permitir que los administradores de red los bloqueen antes de que se pueda cosechar una gran cantidad de nombres válidos de redes. De igual manera, las personas que envían correos electrónicos no deseados con frecuencia ocultan sus identidades al enrutar su correo electrónico a través de terceros involuntarios, cuyos servidores de correo electrónico entrante están mal configurados de maneras que permiten que el correo electrónico sea transmitido desde el exterior. Trabajamos en software que pueda habilitar a los administradores bloquear el correo electrónico de dichos servidores, o que colocan un asunto especial en la pantalla antes de que entren a la red. Además de evitar ataques por correo electrónico de redes externas, los administradores de red podrán detectar si los virus o gusanos infectaron las máquinas de escritorio dentro de sus redes y si fueron programadas para arrojar correos no deseados en todo el mundo, sin el conocimiento del propietario. Durante el año pasado, esta técnica se empleó para distribuir tormentas de correos no deseados, en las cuales se enviaban volúmenes masivos de correos electrónicos al mismo tiempo desde diferentes PCs. Trabajamos para solucionar este problema al adaptar las tecnologías SmartScreen y permitir que las organizaciones protejan su propio correo electrónico de salida contra los correos no deseados. Durante los siguientes 12 meses, agregaremos nuevas funciones importantes a las tecnologías de filtrado SmartScreen para lograr que sean aún más eficaces. Cualquier filtro es tan bueno como los datos que utiliza para distinguir entre el correo electrónico bueno y el no deseado. SmartScreen tiene la ventaja de extraer millones de mensajes de cientos de miles de voluntarios de clientes MSN Hotmail que han contribuido y marcado ya sea como correos no deseados o como correos legítimos. Agregaremos una gama más amplia de datos para hacer que SmartScreen sea aún más inteligente. Además, debido a que las personas que envían correos no deseados siempre cambian sus técnicas para intentar evadir los filtros, planeamos habilitar las tecnologías SmartScreen con capacidades de actualización automática de manera que los clientes se puedan mantener al corriente con las protecciones de filtrado más recientes. * Los beneficios de la innovación y la colaboración El avance que hemos logrado pone de relieve lo mucho que podemos lograr a través de la innovación y de una amplia colaboración por parte de la industria, el gobierno y los consumidores. Desde enero de 2003, Microsoft colaboró con los departamentos gubernamentales en todo el mundo para hacer que se respeten algunas acciones en 14 países en contra de los perpetradores de correos electrónicos ilegales, engañosos o fraudulentos. Nos reunimos con otras organizaciones en nuestra industria para respaldar activamente las nuevas leyes, como la Ley CAN- SPAM de Estados Unidos, la cual proporciona mejores herramientas para ayudar a detener a las personas que envíen correos electrónicos no deseados. En marzo, nos reunimos con otros líderes de proveedores de servicio por correo electrónico para presentar la primera demanda importante de conformidad con la nueva ley de Estados Unidos en contra de cientos de personas supuestamente responsables de algunas de las operaciones de correo electrónico no deseado más grandes del mundo. Además, ayudamos a los departamentos federales que, en abril, presentaron las primeras acciones penales y civiles en conjunto en contra de un grupo de personas sospechosas de enviar correos no deseados. Con 17 demandas más que presentamos en junio, los esfuerzos de Microsoft para lograr que se apliquen las leyes en contra de correos electrónicos no deseados han dado como resultado más de 90 acciones legales en todo el mundo. Conforme progresaron los esfuerzos legislativos, de aplicación de la ley, tecnológicos y de la industria, también ha habido un reconocimiento cada vez mayor sobre el importante papel que los clientes pueden desempeñar en la reducción del correo no deseado, el utilizar filtros contra los correos no deseados, nunca responder a los correos no deseados y tener cuidado al compartir las direcciones de correo electrónico únicamente con las personas y negocios que conocen y en los que confían. Consideramos que las lecciones que estamos aprendiendo contra en el combate del correo electrónico no deseado generará muchos otros beneficios. Conforme trabajamos para ayudar a aislar y bloquear a las personas que envíen estos correos, también ayudamos a desarrollar una infraestructura que mejorará la confiabilidad, eficiencia y seguridad del correo electrónico, del Internet y de la computación en general. Microsoft está comprometido a continuar con estos esfuerzos hasta que el correo no deseado ya no sea un problema importante, una meta que estoy seguro que se logrará. Para obtener mayor información acerca de nuestros esfuerzos, visite www.microsoft.com/spam Gracias. Bill Gates * Enlace original Preserving and Enhancing the Benefits of Email — A Progress Report http://www.microsoft.com/mscorp/execmail/2004/06-28antispam.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Bagle.AA. Se propaga por e-mail y P2P _____________________________________________________________ http://www.vsantivirus.com/bagle-aa.htm Nombre: W32/Bagle.AA Tipo: Gusano de Internet Alias: Bagle.AA, W32.Beagle.AA@mm Fecha: 13/jul/04 Plataforma: Windows 32-bit Tamaño: 15 Kbytes (agrega basura para aumentar su tamaño) Puertos: TCP/1234 Variante del Bagle (gusano escrito en Visual C), detectado el 13 de julio de 2004. Está comprimido con la herramienta FSG. Los adjuntos poseen extensiones .COM, .CPL, .EXE, .HTA, .SCR, .VBS, o .ZIP, en éste último caso con contraseñas generadas al azar, la cuál se muestra al usuario en una imagen también adjunta. Esto pretende eludir la detección de los antivirus. Además de propagarse a través del correo electrónico, lo hace por redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.) Utiliza varios mutex para prevenir que el gusano W32/Netsky y sus variantes, puedan ejecutarse. El gusano agrega su propio código fuente en assembler, encriptado en su interior. Esto puede facilitar la aparición de nuevas variantes. Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso. Posee además un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos. Cuando se ejecuta por primera vez, muestra un mensaje de error falso: Error! Can't find a viewer associated with the file [ Aceptar ] Los mensajes que utiliza para su propagación tienen las siguientes características: De: [una dirección falsa] Asunto: [uno de los siguientes] - Changes.. - Encrypted document - Fax Message Received - Forum notify - Hidden message - Incoming message - New changes - Notification - Protected message - Re: Document - Re: Hello - Re: Hi - Re: Incoming Message - RE: Incoming Msg - RE: Message Notify - Re: Msg reply - RE: Protected message - RE: Text message - Re: Thank you! - Re: Thanks :) - Re: Yahoo! - Site changes Datos adjuntos: [uno de los siguientes] Information Details text_document Updates Readme Document Info Details MoreInfo Message Dicho nombre, puede tener alguna de las siguientes extensiones: .com .cpl .exe .hta .scr .vbs .zip [con contraseña] Si el adjunto es un ZIP, está encriptado con una contraseña. En esos casos, el texto del mensaje puede ser alguno de los siguientes: - For security reasons attached file is password protected. The password is [contraseña] - For security purposes the attached file is password protected. Password -- [contraseña] - Note: Use password [contraseña] to open archive. - Attached file is protected with the password for security reasons. Password is [contraseña] - In order to read the attach you have to use the following password: [contraseña] - Archive password: [contraseña] - Password - [contraseña] - Password: [contraseña] Donde [contraseña] es una imagen JPEG insertada, o un texto que muestra un número de cinco dígitos. Si el adjunto no es un .ZIP, el texto del mensaje puede ser uno de los siguientes: - Attach tells everything. - Attached file tells everything. - Check attached file for details. - Check attached file. - Here is the file. - Message is in attach - More info is in attach - Pay attention at the attach. - Please, have a look at the attached file. - Please, read the document. - Read the attach - See attach. - See the attached file for details. - Your document is attached. - Your file is attached.. El gusano cambia el tipo de archivo del adjunto, de acuerdo a la extensión. Por ejemplo, si el archivo tiene extensión .VBS, el adjunto es creado como un script de Visual Basic que genera al gusano, un archivo ejecutable de Win32. Por ello, existen tres formatos para el "dropper" del gusano, Visual Basic Script, HTML, y aplicación del Panel de control (.CPL). En el caso de un adjunto .ZIP, el archivo contenido dentro del mismo, posee un nombre generado al azar de 5 a 9 caracteres y extensión .EXE. El archivo .ZIP puede también contener un archivo adicional (generalmente un archivo limpio, sin infección), con datos al azar, y un nombre también al azar, generalmente con la extensión .BAT, .DLL, .DOC, .TXT o .VXD. Cuando se ejecuta, el gusano examina si la fecha actual es 25 de enero de 2005 o superior. Si lo es, finaliza su acción. En caso contrario, crea los siguiente archivos en la carpeta System de Windows: c:\windows\system\loader_name.exe c:\windows\system\loader_name.exeopen c:\windows\system\loader_name.exeopenopen También puede crear los siguientes archivos: c:\windows\system\cplstub.exe c:\windows\system\loader_name.exeopenopenopen c:\windows\system\qwrk.exe c:\windows\system\vss_2.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run reg_key = c:\windows\system\loader_name.exe Crea también la siguiente entrada para almacenar valores de su configuración actual: HKCU\Software\base_reg_path Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml Ignora direcciones de correo que contengan las siguientes cadenas: @avp. @foo @hotmail @iana @messagelab @microsoft @msn abuse admin anyone@ bsd bugs@ cafee certific contract@ feste free-av f-secur gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster rating@ root@ samples sopho spam support unix update winrar winzip El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres: acdsee 9.exe adobe photoshop 9 full.exe ahead nero 7.exe kaspersky antivirus 5.0 kav 5.0 matrix 3 revolution english subtitles.exe microsoft office 2003 crack, working!.exe microsoft office xp working crack, keygen.exe microsoft windows xp, winxp crack, working keygen.exe opera 8 new!.exe porno pics arhive, xxx.exe porno screensaver.scr porno, sex, oral, anal cool, awesome!!.exe serials.txt.exe winamp 5 pro keygen crack update.exe winamp 6 new!.exe windown longhorn beta leak.exe windows sourcecode update.doc.exe xxx hardcore images.exe También intenta acceder a numerosos sitios de Internet, para notificar su presencia vía HTTP, con una solicitud GET, cada determinada cantidad de tiempo, conectándose con un script PHP. Posee algunas características de troyano de acceso remoto y para ello abre el puerto TCP/1234, quedando a la espera de comandos. Esta opción puede ser usada para actualizar al propio gusano. Cuando ello sucede, se descarga la nueva versión que luego se ejecuta para suplantar la anterior. El gusano no se ejecuta después del 25 de enero de 2005. Si es ejecutado después de esa fecha, se auto invoca con el parámetro -DEL para desinstalarse del sistema. Mientras se está ejecutando, intenta finalizar los siguientes procesos: agentsvr.exe anti-trojan.exe antivirus.exe ants.exe apimonitor.exe aplica32.exe apvxdwin.exe atcon.exe atguard.exe atro55en.exe atupdater.exe atwatch.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avgserv9.exe avltmain.exe avprotect9x.exe avpupd.exe avsynmgr.exe avwupd32.exe avxquar.exe bd_professional.exe bidef.exe bidserver.exe bipcp.exe bipcpevalsetup.exe bisp.exe blackd.exe blackice.exe bootwarn.exe borg2.exe bs120.exe cdp.exe cfgwiz.exe cfiadmin.exe cfiaudit.exe cfinet.exe cfinet32.exe clean.exe cleaner.exe cleaner3.exe cleanpc.exe cmgrdian.exe cmon016.exe cpd.exe cpf9x206.exe cpfnt206.exe cv.exe cwnb181.exe cwntdwmo.exe defwatch.exe deputy.exe dpf.exe dpfsetup.exe drwatson.exe drwebupw.exe ent.exe escanh95.exe escanhnt.exe escanv95.exe exantivirus-cnet.exe fast.exe firewall.exe flowprotector.exe fp-win_trial.exe frw.exe fsav.exe fsav530stbyb.exe fsav530wtbyb.exe fsav95.exe gbmenu.exe gbpoll.exe guard.exe guarddog.exe hacktracersetup.exe htlog.exe hwpe.exe iamapp.exe iamserv.exe icload95.exe icloadnt.exe icmon.exe icssuppnt.exe icsupp95.exe icsuppnt.exe ifw2000.exe iparmor.exe iris.exe jammer.exe kavlite40eng.exe kavpers40eng.exe kerio-pf-213-en-win.exe kerio-wrl-421-en-win.exe kerio-wrp-421-en-win.exe killprocesssetup161.exe ldpro.exe localnet.exe lockdown.exe lockdown2000.exe lsetup.exe luall.exe lucomserver.exe luinit.exe mcagent.exe mcupdate.exe mfw2en.exe mfweng3.02d30.exe mgui.exe minilog.exe moolive.exe mrflux.exe msconfig.exe msinfo32.exe mssmmc32.exe mu0311ad.exe nav80try.exe navapw32.exe navdx.exe navstub.exe navw32.exe nc2000.exe ncinst4.exe ndd32.exe neomonitor.exe netarmor.exe netinfo.exe netmon.exe netscanpro.exe netspyhunter-1.2.exe netstat.exe nisserv.exe nisum.exe nmain.exe norton_internet_secu_3.0_407.exe npf40_tw_98_nt_me_2k.exe npfmessenger.exe nprotect.exe nsched32.exe ntvdm.exe nupgrade.exe nvarch16.exe nwinst4.exe nwtool16.exe ostronet.exe outpost.exe outpostinstall.exe outpostproinstall.exe padmin.exe panixk.exe pavproxy.exe pcc2002s902.exe pcc2k_76_1436.exe pcciomon.exe pcdsetup.exe pcfwallicon.exe pcip10117_0.exe pdsetup.exe periscope.exe persfw.exe pf2.exe pfwadmin.exe pingscan.exe platin.exe poproxy.exe popscan.exe portdetective.exe ppinupdt.exe pptbc.exe ppvstop.exe procexplorerv1.0.exe proport.exe protectx.exe pspf.exe purge.exe pview95.exe qconsole.exe qserver.exe rav8win32eng.exe regedit.exe regedt32.exe rescue.exe rescue32.exe rrguard.exe rshell.exe rtvscn95.exe rulaunch.exe safeweb.exe sbserv.exe sd.exe setup_flowprotector_us.exe setupvameeval.exe sfc.exe sgssfw32.exe sh.exe shellspyinstall.exe shn.exe smc.exe sofi.exe spf.exe sphinx.exe spyxx.exe ss3edit.exe st2.exe supftrl.exe supporter5.exe symproxysvc.exe sysedit.exe taskmon.exe taumon.exe tauscan.exe tc.exe tca.exe tcm.exe tds2-98.exe tds2-nt.exe tds-3.exe tfak5.exe tgbob.exe titanin.exe titaninxp.exe tracert.exe trjscan.exe trjsetup.exe trojantrap3.exe undoboot.exe update.exe vbcmserv.exe vbcons.exe vbust.exe vbwin9x.exe vbwinntw.exe vcsetup.exe vfsetup.exe virusmdpersonalfirewall.exe vnlan300.exe vnpc3000.exe vpc42.exe vpfw30s.exe vptray.exe vscenu6.02d30.exe vsecomr.exe vshwin32.exe vsisetup.exe vsmain.exe vsmon.exe vsstat.exe vswin9xe.exe vswinntse.exe vswinperse.exe w32dsm89.exe w9x.exe watchdog.exe webscanx.exe wgfe95.exe whoswatchingme.exe winrecon.exe wnt.exe wradmin.exe wrctrl.exe wsbgate.exe wyvernworksfirewall.exe xpf202en.exe zapro.exe zapsetup3001.exe zatutor.exe zauinst.exe zonalm2601.exe zonealarm.exe También intenta borrar las entradas en el registro creadas por versiones de otros gusanos, como Netsky. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\cplstub.exe c:\windows\system\loader_name.exe c:\windows\system\loader_name.exeopen c:\windows\system\loader_name.exeopenopen c:\windows\system\loader_name.exeopenopenopen c:\windows\system\qwrk.exe c:\windows\system\vss_2.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: reg_key 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \base_reg_path 5. Pinche en la carpeta "base_reg_path" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Lovgate.AJ. Usa e-mail y recursos compartidos _____________________________________________________________ http://www.vsantivirus.com/lovgate-aj.htm Nombre: W32/Lovgate.AJ Tipo: Gusano de Internet Alias: Lovgate.AJ, W32.Lovgate.AD@mm Plataforma: Windows 32-bit Tamaño: 125,440 bytes Fecha: 13/jul/04 Puerto: TCP al azar Gusano que se propaga masivamente por correo electrónico, y recursos compartidos en redes. La máquina infectada puede ser accedida por un atacante a través de una puerta trasera instalada por el gusano. Es capaz de infectar archivos .EXE. Los mensajes infectados pueden tener adjuntos con extensiones .BAT, .EXE, .PIF o .SCR. El mensaje también puede ser la respuesta a un mensaje enviado anteriormente a un usuario que ahora ha sido infectado (no abra adjuntos de usuarios conocidos sin haber confirmado con el remitente su envío, podría ser una respuesta automática del gusano a uno de sus mensajes, en un mensaje infectado). Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows y del Outlook, y a todas las direcciones que extrae de archivos de las máquinas infectadas. Detalles de los mensajes: De: [remitente falso, creado con los datos de la siguiente lista] accoun acketst alice andrew anyone arin. be_loyal: berkeley borlan brenda brent brian certific claudia contact david debby example feste george gold-certs google helen hotmail ibm.com icrosof icrosoft inpris isc.o isi.e james jerry jimmy julie kernel kevin linda linux listserv maria michael mit.e mozilla mydomai nobody noone nothing ntivi panda peter postmaster privacy rating rfc-ed ripe. robert ruslis samples sandra secur sendmail service smith somebody someone sopho steve submit support tanford.e the.bat usenet utgers.ed webmaster Asunto: [uno de los siguientes] Error hello hi Mail Delivery System Mail Transaction Failed Server Report Status test Texto del mensaje: [uno de los siguientes] - It's the long-awaited film version of the Broadway hit. The message sent as [****] - Mail failed. For further assistance, please contact! - pass - The message contains Unicode characters [****] NOTA [****]: Debido a que muchos proveedores están filtrando los mensajes con estos textos, los mismos son omitidos en este boletín. Puede verlos en http://www.vsantivirus.com/lovgate-ah.htm Datos adjuntos: [nombre]+[extensión] Donde [nombre] es un nombre cualquiera al azar y [extensión] una de las siguientes: .com .exe .pif .rar .scr También puede incluir adjuntos con extensión .ZIP y cualquier nombre. Además, se envía como respuesta a mensajes no leídos encontrados en la bandeja de entrada del Outlook, Outlook Express y otros clientes de correo compatibles. En este caso, estos son los detalles del mensaje: Asunto: Re: [asunto del mensaje que se responde] Texto del mensaje: [texto del mensaje que se responde] [nombre dominio] account auto-reply: If you can keep your head when all about you Are losing theirs and blaming it on you; If you can trust yourself when all men doubt you, But make allowance for their doubting too; If you can wait and not be tired by waiting, Or, being lied about,don't deal in lies, Or, being hated, don't give way to hating, And yet don't look too good, nor talk too wise; ... ... more look to the attachment. > Get your FREE [nombre dominio] now! < Donde [nombre dominio] es el mismo dominio del destinatario. Datos adjuntos: [uno de los siguientes] britney spears nude.exe.txt.exe deutsch bloodpatch!.exe dreamweaver mx (crack).exe dsl modem uncapper.rar.exe how to crack all gamez.exe i am for u.doc.exe industry giant ii.exe joke.pif macromedia flash.scr me_nude.avi.pif s3msong.mp3.pif setup.exe sex in office.rm.scr shakira.zip.exe starwars2 - cloneattack.rm.scr the hardcore game-.pif Cuando se ejecuta, el gusano crea los siguientes archivos en la máquina infectada: \autorun.inf \command.exe c:\windows\system\hxdef.exe c:\windows\system\iexplore.exe c:\windows\system\kernel66.dll c:\windows\system\lmmib20.dll c:\windows\system\msjdbc11.dll c:\windows\system\mssign30.dll c:\windows\system\odbc16.dll c:\windows\system\ravmond.exe c:\windows\system\realsched.exe c:\windows\system\vptray.exe c:\windows\systra.exe El archivo KERNEL66.DLL es copiado con los atributos de solo lectura, oculto y del sistema (+R +H +S). NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). Modifica las siguientes claves del registro, para que cada intento de abrir un archivo .TXT ejecute al gusano: HKCR\txtfile\shell\open\command (Predeterminado) = vptray.exe %1 HKLM\Software\Classes\txtfile\shell\open\command (Predeterminado) = vptray.exe %1 También genera las siguientes entradas en el registro, para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Hardware Profile = c:\windows\system\hxdef.exe Microsoft NetMeeting Associates, Inc. = netmeeting.exe Program In Windows = c:\windows\system\iexplore.exe Protected Storage = rundll32.exe mssign30.dll ondll_reg Shell Extension = c:\windows\system\spollsv.exe VFW Encoder/Decoder Settings = rundll32.exe mssign30.dll ondll_reg WinHelp = c:\windows\system\realsched.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices COM++ System = suchost.exe SystemTra = c:\windows\systra.exe En equipos con Windows NT, 2000 y XP, crea también la siguiente entrada: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\ Run = ravmond.exe Crea un recurso compartido en red con el siguiente nombre: Media El mismo está mapeado a la siguiente ubicación: c:\windows\media Se copia en todas las carpetas y subcarpetas, de todos los recursos compartidos, con los siguientes nombres: autoexec.bat cain.pif client.exe documents and settings.txt.exe findpass.exe i386.exe internet explorer.bat microsoft office.exe mmc.exe msdn.zip.pif support tools.exe windows media player.zip.exe windowsupdate.pif winhlp32.exe winrar.exe xcopy.exe Crea dos archivos llamados "COMMAND.EXE" y "AUTORUN.INF" respectivamente, y los copia en el directorio raíz de todas las unidades de disco excepto CDROM y removibles. El archivo AUTORUN.INF contiene las instrucciones para ejecutar COMMAND.EXE (no confundir con COMMAND.COM de sistemas Windows 9x y Me). El gusano también se registra a si mismo como los servicios "_reg" y "Windows Management Protocol v.0 (experimental)". HKLM\System\ControlSet001\Services\_reg Image Path = Rundll32.exe msjdbc11.dll ondll_server HKLM\System\ControlSet001\Services \Windows Management Protocol v.0 (experimental) Image Path = Rundll32.exe msjdbc11.dll ondll_server HKLM\System\CurrentControlSet\Services\_reg Image Path = Rundll32.exe msjdbc11.dll ondll_server HKLM\System\CurrentControlSet\Services \Windows Management Protocol v.0 (experimental) Image Path = Rundll32.exe msjdbc11.dll ondll_server Infecta archivos .EXE agregándoles una copia del archivo original del gusano. Escucha por un puerto TCP al azar. El proceso de acceso remoto por puerta trasera (backdoor), roba información del sistema comprometido. Esta información es almacenada por el troyano en el siguiente archivo: c:\netlog.txt Luego, la misma puede ser enviada vía correo electrónico a un usuario remoto. También examina todas las máquinas de la red local (si existiera), e intenta logearse en ellas como administrador, utilizando alguna de las siguientes contraseñas: !@#$ !@#$% !@#$%^ !@#$%^& !@#$%^&* 000000 00000000 007 110 111 111111 11111111 121212 123 123123 1234 12345 123456 1234567 12345678 123456789 123abc 123asd 2003 2004 2600 321 54321 654321 666666 888888 88888888 aaa abc abc123 abcd abcdef abcdefg Admin admin admin123 Administrator administrator alpha asdf asdfgh computer database enable god godblessyou Guest guest home Internet login Login love mypass mypass123 mypc mypc123 oracle owner pass passwd Password password pw123 pwd root secret server sex sql super sybase temp temp123 test test123 win xxx yxcv zxcv El gusano también intenta logearse como administrador si la cuenta no tiene contraseña. Si obtiene éxito, se copia a si mismo como NETMANAGER.EXE en la siguiente ubicación: \\[nombre computadora]\admin$\system32\netmanager.exe También inicia un servicio llamado "Windows Management NetWork Service Extensions" que es mapeado como "NetManager.exe -exe_start". Intenta finalizar los procesos activos cuyos nombres contengan las siguientes cadenas: Duba Gate KAV kill KV McAfee NAV RavMon.exe Rfw.exe rising SkyNet Symantec * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: \autorun.inf \cdrom.com c:\netlog.txt c:\windows\cdplay.exe c:\windows\system\hxdef.exe c:\windows\system\iexplore.exe c:\windows\system\iexplorer.exe c:\windows\system\kernel66.dll c:\windows\system\ravmond.exe c:\windows\system\spollsv.exe c:\windows\system\tkbellexe.exe c:\windows\system\update_ob.exe El archivo "COMMAND.EXE", así como "AUTORUN.INF", se copian en todas las unidades de disco excepto CDROM y removibles. IMPORTANTE: No borre "COMMAND.COM", ya que es un archivo legítimo de algunas versiones de Windows. * En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" "Mi PC", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: netmanager.exe 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: netmanager.exe 4. Verifique que en "Buscar en:" esté seleccionado "Mi PC" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows NT \CurrentVersion \Windows 3. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Run 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: SystemTra COM++ System 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run 7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Hardware Profile Microsoft NetMeeting Associates, Inc. Program In Windows Protected Storage Shell Extension VFW Encoder/Decoder Settings WinHelp 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \ControlSet001 \Services 9. Pinche en la carpeta "Services" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: _reg Windows Management Protocol v.0 (experimental) 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services 11. Pinche en la carpeta "Services" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: _reg Windows Management Protocol v.0 (experimental) 12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \txtfile \shell \open \command 13. Pinche en la carpeta "command" y en el panel de la derecha, bajo la columna "Nombre", en (Predeterminado), busque y cambie cualquier entrada que no haga referencia a NOTEPAD.EXE, por lo siguiente: (Predeterminado) = NOTEPAD.EXE %1 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \CLASSES \txtfile \shell \open \command 15. Pinche en la carpeta "command" y en el panel de la derecha, bajo la columna "Nombre", en (Predeterminado), busque y cambie cualquier entrada que no haga referencia a NOTEPAD.EXE, por lo siguiente: (Predeterminado) = NOTEPAD.EXE %1 16. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1468 Año 8, martes 13 de julio de 2004