Mostrando mensaje 480     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1431 Año 8, domingo 6 de junio de 2004 Fecha: Domingo, 6 de Junio, 2004  09:57:45 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1431 Año 8, domingo 6 de junio de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - W32/Dabber.B. Utiliza un fallo en gusano Sasser 2 - HTML/Startpage.E. Infecta al visitar un sitio Web 3 - VBS/Pub.A. Borra archivos los días 6, 13, 21, o 28 4 - W32/Joot.A. Se propaga por e-mail y redes P2P _____________________________________________________________ 1 - W32/Dabber.B. Utiliza un fallo en gusano Sasser _____________________________________________________________ http://www.vsantivirus.com/dabber-b.htm Nombre: W32/Dabber.B Tipo: Gusano de Internet Alias: Dabber.B, W32.Dabber.B, W32/Dabber.worm.b, WORM_DABBER.B, Worm.Win32.Dabber.b, W32/Dabber.B.worm, Win32/Dabber.B Fecha: 4/jun/04 Plataforma: Windows 32-bit Tamaño: 34,304 bytes Se vale de un fallo en el W32/Sasser.A para propagarse (ver "Vulnerabilidad en el gusano Sasser puede ser explotada", http://www.vsantivirus.com/vul-ftp-sasser.htm). Escrito en Microsoft Visual C++, utiliza un desbordamiento de búfer en el componente FTP creado por el Sasser en los equipos previamente infectados por él, para propagarse. Posee una puerta trasera que permite a cualquier intruso tomar el control del equipo infectado. No utiliza el correo electrónico para propagarse, ni requiere ninguna acción directa del usuario para ejecutarse, siempre que el equipo ya esté infectado por el Sasser. Cuando se ejecuta, crea el siguiente archivo en la carpeta del sistema de Windows: c:\windows\system32\package.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Modifica o crea las siguientes entradas en el registro, (la primera permite su autoejecución en cada reinicio de Windows): HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run sasserfix = c:\windows\system32\package.exe HKLM\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous = 1 restrictanonymoussam = 1 HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start = 1 HKLM\SYSTEM\ControlSet001\Services\WZCSVC Start = 1 También se copia en la carpeta de inicio de Windows usada por todos los usuarios. Según el sistema, ésta puede ser: En Windows XP, 2000: C:\Documents and Settings\All Users \Menú Inicio\Programas\Inicio\package.exe En Windows 95, 98 y Me: C:\Windows\All Users\Menú Inicio \Programas\Inicio\package.exe Una vez en memoria, el gusano puede escanear diferentes subredes a partir de direcciones IP seleccionadas al azar, monitoreando sucesivos puertos TCP, en busca de equipos previamente infectados por el gusano Sasser.A. Luego, envía al puerto TCP/5554 de dichas direcciones IP, paquetes SYN. En los equipos infectados por el Sasser, dicho puerto contiene un servidor FTP, y es creado por este último con el propósito de permitir la descarga de dicho gusano en otros sistemas que así también son infectados. Cuando el Dobber detecta un sistema previamente infectado con el Sasser escuchando por ese puerto, entonces se vale de una vulnerabilidad en dicho componente FTP, provocando un desbordamiento de búfer con posterior ejecución de código, para crear un shell (consola de comandos), escuchando por el puerto TCP/8967, a través del cuál se descarga utilizando su propio servidor TFTP. TFTP (Trivial File Transfer Protocol), es una versión simplificada de FTP (File Transfer Protocol), un protocolo que permite la transferencia de archivos entre dos computadoras conectadas en red. Una vez activo, el gusano habilita un acceso por puerta trasera, escuchando por el puerto TCP/9898, que permite a cualquier intruso tomar el control del equipo infectado. El gusano también borra las siguientes entradas en el registro creadas por el gusano Sasser, para que éste no vuelva a ejecutarse, según el siguiente detalle: Entradas del registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\.DEFAULT\SOFTWARE\Microsoft\Windows \CurrentVersion\Run HKCR\CLSID \{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\ Valores o nombres borrados: (Predeterminado) avserve avserve2.exe avvserrve32 BagleAV Drvddll.exe drvddll.exe Drvddll_exe drvsys drvsys.exe Generic Host Service Gremlin lsasss lsasss.exe MapiDrv Microsoft Update navapsrc.exe skynetave.exe SkynetRevenge soundcontrl ssgrate ssgrate.exe System Updater Service Taskmon TempCom Video Video Process Window windows Windows Drive Compatibility WinMsrv32 Crea el siguiente mutex para no ejecutarse más de una vez en memoria: omgwtfhi2uhaxplz!!11111!!!111 * Reparación manual * IMPORTANTE: Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04- 011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente: MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm * Métodos para detener el reinicio de Windows La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad en el componente LSASS). Para evitarlo, siga cualquiera de estos métodos: 1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche). 2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter): shutdown -a * Sobre el componente troyano Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\package.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: sasserfix 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \Lsa 5. Pinche en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie en las siguiente entradas, los valores puestos por el gusano (ver descripción), por los siguientes: restrictanonymous = 0 restrictanonymoussam = 1 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \SharedAccess 7. Pinche en la carpeta "SharedAccess" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie en la siguiente entrada, el valor puesto por el gusano (ver descripción), por el siguiente: Start = 2 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \ControlSet001 \Services \WZCSVC 9. Pinche en la carpeta "WZCSVC" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie en la siguiente entrada, el valor puesto por el gusano (ver descripción), por el siguiente: Start = 2 10. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - HTML/Startpage.E. Infecta al visitar un sitio Web _____________________________________________________________ http://www.vsantivirus.com/html-startpage-e.htm Nombre: HTML/Startpage.E Tipo: Virus de HTML Alias: Trojan.Startpage.E Fecha: 6/jun/04 Plataforma: Windows 32-bit Tamaño: (variable) Se trata de una página HTML maliciosa que modifica el registro de Windows al ser visualizada en el Internet Explorer. Luego del cambio, la página de inicio es redireccionada a un determinado sitio Web: http:/ /213 .159 .117 .132 /redir.php También modifica el archivo HOSTS, para redireccionar los siguientes sitios, impidiendo que el usuario infectado acceda a ellos: www.008i.com www.2fastsearch.net www.8095.com www.alfa-search.com www.boredlife.com www.couldnotfind.com www.cracks.am www.cracks.am www.daum.net www.default-homepage-network.com www.dreamwiz.com www.find4u.net www.find4u.net www.find-itnow.com www.firstbookmark.com www.freshvideogals.com www.gajai.com www.hand-book.com www.hao123.com www.hotsearchbox.com www.hotwebsearch.com www.hugesearch.net www.ie-search.com www.i-lookup.com www.iquicksearch.com www.itseasy.us www.lookfor.cc www.mysearchnow.com www.nativehardcore.com www.naver.com www.nkvd.us www.novafuck.com www.ohcorea.com www.omega-search.com www.onet.pl www.power-search.info www.qwertysearch123.biz www.rightfinder.net www.search-1.net www.search-and-go.com www.searchcentrix.com www.search-dot.com www.searchforge.com www.searching-the-net.com www.searchmyrequest.com www.search-space.com www.searchv.com www.searchxl.com www.seznam.cz www.slotch.com www.spidersearch.com www.startium.com www.super-spider.com www.teen-biz.com www.teenhqpics.com www.ttjj.com www.viewpornkey.com www.wazzupnet.com www.webcoolsearch.com www.websearch.com www.windowws.cc www.wmmse.com www.xgmm.com www.xwebsearch.biz www.yourbookmarks.ws HOSTS es un archivo en formato texto, sin extensión, ubicado en \windows\ o windows\system32\drivers\etc\, dependiendo de la versión de Windows. Dicho archivo es usado por el sistema operativo para asociar nombres de dominio con direcciones IP. Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS. Además, el gusano puede finalizar la ejecución de los siguientes procesos que pudieran estar ejecutándose: atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avpupd.exe avwupd32.exe avxquar.exe cfiaudit.exe drwebupw.exe icssuppnt.exe icsupp95.exe loadclean.exe loader.exe runddl.exe luall.exe mcupdate.exe nupgrade.exe serve.exe update.exe * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Cómo borrar archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet pinche en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Pinche en Aceptar, etc. * Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer 1. Cierre todas las ventanas del Internet Explorer abiertas 2. Seleccione "Mi PC", "Panel de control". 3. Pinche en el icono "Opciones de Internet". 4. Seleccione la lengüeta "Programas". 5. Pinche en el botón "Restablecer configuración Web" 6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI. 7. Pinche en "Aceptar". * Seleccionar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o pinche en "Página en blanco"). O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual". * Restaurar las páginas de búsqueda del Internet Explorer 1. Inicie el Internet Explorer. 2. Pinche en el botón "Búsqueda" de la barra de herramientas. 3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar". 4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant). 5. Pinche en el botón "Reiniciar" (Reset). 6. Pinche en el botón "Configuración de Autosearch" (Autosearch Settings). 7. Elija un proveedor de búsquedas en el menú (Search Provider). 8. Seleccione "Aceptar" hasta salir de todas las opciones. * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. * Información adicional El virus utiliza un exploit que se aprovecha de una vulnerabilidad del Internet Explorer para manejar las etiquetas IFRAME, a los efectos de ejecutarse al ser visualizada una página, en aquellos equipos que no hayan instalado los últimos parches para el Internet Explorer y Outlook Express. La configuración sugerida en el siguiente artículo, evita la ejecución del script que permite la explotación de esta falla: Navegando más seguros y sin molestos Pop-Ups con el IE http://www.vsantivirus.com/faq-sitios-confianza.htm Se sugiere descargar la última actualización acumulativa para el Internet Explorer, que corrige esta falla: MS04-004 Actualización acumulativa para IE (832894) http://www.vsantivirus.com/vulms04-004.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - VBS/Pub.A. Borra archivos los días 6, 13, 21, o 28 _____________________________________________________________ http://www.vsantivirus.com/pub-a.htm Nombre: VBS/Pub.A Tipo: Gusano de Visual Basic Script Alias: Pub, VBS.Pub Fecha: 5/jun/04 Plataforma: Windows 32-bit Tamaño: (variable) Gusano escrito en Visual Basic Script, que se propaga masivamente vía correo electrónico. Los mensajes poseen características variables. Puede infectar archivos con las siguientes extensiones, agregando su código al final de los mismos: .asp .hta .htm .html .htt .vbe .vbs También cambia los atributos de los archivos con extensiones .HTML y .VBS a solo lectura (+R) para evitar reinfectarlos. El gusano se envía a si mismo a través del Outlook y Outlook Express a todos los contactos de la libreta de direcciones de esos programas. Si el día actual es 6, 13, 21, o 28 de cualquier mes, al ejecutarse, el gusano borra todos los archivos del sistema. Posee características polimórficas, alterando partes de su código en cada nueva infección. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Joot.A. Se propaga por e-mail y redes P2P _____________________________________________________________ http://www.vsantivirus.com/joot-a.htm Nombre: W32/Joot.A Tipo: Gusano de Internet Alias: Joot, W32.Joot.A@mm, Win32/Joot.A Fecha: 4/jun/04 Plataforma: Windows 32-bit Tamaño: 26,112 bytes (UPX) Gusano escrito en C++ y comprimido con la herramienta UPX, que se propaga masivamente a través del correo electrónico, a direcciones electrónicas obtenidas de archivos ubicados en la máquina infectada. También intenta propagarse por recursos compartidos y redes de intercambio de archivos entre usuarios (P2P), como Kazaa, iMesh y Grokster. Deshabilita los procesos relacionados con conocidos antivirus y cortafuegos personales. Posee errores en su código que hacen que no funcionen correctamente todas sus funciones. Los mensajes enviados por el gusano poseen estas características: Ejemplo 1: Asunto: Hi! Texto del mensaje: This is a nice game I found. Beat my score: 5386 Points! Try it! :) See you later! Datos adjuntos: [archivo del gusano] Ejemplo 2: Asunto: Something funny! Texto del mensaje: This is my little test Datos adjuntos: [archivo del gusano] Cuando se ejecuta, crea los siguientes archivos: c:\windows\Navapw32.exe c:\windows\Regedit.exe.tmp c:\windows\Sbbserv.exe El editor del registro (REGEDIT.EXE), es ejecutado en un nuevo escritorio virtual y el archivo del gusano (REGEDIT.EXE.TMP) es inyectado dentro del mismo proceso. El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria: G4Mjoohtaeckz Crea además, copias de si mismo con los siguientes nombres en las carpetas por defecto de los programas de intercambio entre usuarios, Kazaa, iMesh y Grokster: Command and Conquer Generals No-CD patch (working).exe Diabolo 2 Keygen.exe FixKlez.exe Half-Life No-CD Crack.exe Madonna Screensaver.exe Setup.exe StarCraft BW 1.10 No-CD Crack.exe Unreal Tournament 2003 No-CD.exe WarCraft III No-CD (all versions).exe Windows 2000 Serial.exe Windows XP Crack.exe Winzip Serial.exe Intenta finalizar los procesos activos que contengan alguna de las siguientes cadenas en sus nombres: afee anti ccapp ccevtmgr norton persfw prot sym virus zone Agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run NAV Agent = "navapw32.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices ScriptBBlocking = "SBBServ.exe" Busca direcciones electrónicas en archivos con las siguientes extensiones: .bak .htm .html .tmp Al mismo tiempo, el gusano intentará borrar todos los archivos examinados que contengan alguna de las siguientes cadenas: afee anti ccapp ccevtmgr norton persfw prot sym virus zone Para enviar los mensajes infectados, utiliza la configuración de correo del usuario infectado, obtenida de la siguiente clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts El gusano intenta modificar los archivos SYSTEM.INI y WIN.INI para autoejecutarse en cada reinicio (Windows 9x, Me). También intenta modificar valores del registro relacionados con los recursos compartidos (Windows 9x y Me): HKLM\Software\Microsoft\Windows \CurrentVersion\Network\LanMan Flags = Parm1enc = Parm2enc = Path = Remark = Type = * Reparación manual * Deshabilitar las carpetas compartidas de programas P2P Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema. Para ello, siga las instrucciones del siguiente artículo: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\Navapw32.exe c:\windows\Regedit.exe.tmp c:\windows\Sbbserv.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: NAV Agent 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: ScriptBBlocking 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Network \LanMan 7. Pinche en la carpeta "LanMan" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Flags = Parm1enc = Parm2enc = Path = Remark = Type = 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Modificar SYSTEM.INI * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo SYSTEM.INI en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre SYSTEM.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. 1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter. 2. Busque lo siguiente: [boot] shell = explorer.exe [archivo del gusano] y déjelo así: [boot] shell = explorer.exe 3. Grabe los cambios y salga del bloc de notas * Modificar WIN.INI * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo WIN.INI en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre WIN.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [windows], bórrelo. Por ejemplo: [Windows] run = [archivo del gusano] Debe quedar como: [Windows] run = 3. Grabe los cambios y salga del bloc de notas. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1431 Año 8, domingo 6 de junio de 2004