Mostrando mensaje 541     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1492 Año 8, viernes 6 de agosto de 2004 Fecha: Jueves, 5 de Agosto, 2004  23:18:11 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1492 Año 8, viernes 6 de agosto de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Opera puede permitir ataques "cross-site scripting" 2 - Múltiples vulnerabilidades con archivos PNG 3 - WCE/Brador.A. Primer troyano de PocketPC 4 - W32/Myfip.A. Se propaga por redes, roba archivos PDF 5 - W32/Doep.A. Se propaga por redes P2P _____________________________________________________________ 1 - Opera puede permitir ataques "cross-site scripting" _____________________________________________________________ http://www.vsantivirus.com/vul-opera-location.htm Opera puede permitir ataques "cross-site scripting" Por Angela Ruiz angela@videosoft.net.uy GreyMagic Software de Israel, informa de una vulnerabilidad en Opera, el popular navegador de Internet, que puede permitir a un sitio malintencionado robar información sensitiva del equipo del usuario afectado, y realizar ataques del tipo "cross-site scripting". Esta vulnerabilidad es causada por un acceso de escritura universal habilitado en el objeto "location". Esto puede ser explotado con el uso de un simple IFRAME, que apunte a una página Web, e inyectando código malicioso en la ventana del navegador. Un código de demostración está disponible, aunque el mismo no puede ser fácilmente utilizado (el código debe ser insertado en un momento preciso). El fallo permite que un sitio web construido maliciosamente, pueda eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios (cross-site scripting). Esto es válido para cualquier sitio web o para un archivo local. Son vulnerables las versiones 7.53 y anteriores de Opera. La última versión (7.54), corrige este fallo, por lo que se recomienda su inmediata instalación. * Descarga: http://www.opera.com/download/ * Relacionados: GreyMagic Security Advisory GM#008-OP 05 Aug 2004. Topic: Location, Location, Location. http://www.greymagic.com/security/advisories/gm008-op/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Múltiples vulnerabilidades con archivos PNG _____________________________________________________________ http://www.vsantivirus.com/vul-libpng.htm Múltiples vulnerabilidades con archivos PNG Por Angela Ruiz angela@videosoft.net.uy El CERT ha reportado diversas vulnerabilidades en la librería LIBPNG, alguna de las cuales podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado, convenciendo a una probable víctima para que visite un sitio web malicioso, o visualice un mensaje de correo electrónico conteniendo una imagen maliciosamente modificada. PNG (Portable Network Graphics), es un formato de imágenes utilizado como alternativa a otros formatos como GIF (Graphics Interchange Format), por ejemplo. LIBPNG es una librería utilizada por desarrolladores de aplicaciones que soportan el formato de imagen PNG. Las vulnerabilidades reportadas en esta librería, hacen que cualquier programa o aplicación que la utilice, se vea comprometido. Esto incluye navegadores de Internet como Mozilla, Konqueror y varios clientes de correo. Se han reportado que algunas versiones del Internet Explorer podrían ser vulnerables a algunos de los problemas. Algunas de las vulnerabilidades: 1. Libpng falla en la verificación de la longitud de los datos de la pieza de transparencia (tRNS). Se ha reportado una vulnerabilidad de desbordamiento de búfer ocasionada por el método en que se procesan las imágenes PNG. Este problema podría permitir a un atacante remoto, hacer fallar a la aplicación que use la librería, o incluso llegar a ejecutar código arbitrario en un sistema vulnerable, por medio de una imagen PNG creada maliciosamente. El código sería ejecutado con los mismos privilegios del usuario actual en el equipo comprometido. 2. Perdida de referencia de puntero Nulo en png_handle_iCCP() Bajo ciertas circunstancias, un puntero nulo podría perder las referencias durante una asignación de memoria en la función png_handle_iCCP(). Como resultado de esto, una imagen PNG hábilmente modificada, podría provocar el bloqueo de la aplicación afectada (denegación de servicio). Este tipo de errores se producen en otras ubicaciones de LIBPNG. Una imagen maliciosa descargada desde un sitio Web o enviada en un correo electrónico, podría causar que falle el navegador o el cliente de correo usado. 3. Desbordamiento de entero en el procesamiento de la altura de la imagen en libpng Existe un error de desbordamiento de entero en el manejo de la altura de una imagen PNG dentro de la función png_read_png(). A raíz de este problema, una imagen PNG con una altura excesiva, podría provocar un desbordamiento de entero durante una operación de asignación de memoria, provocando el colapso de la aplicación afectada. Un desbordamiento de entero (integer overflow) ocurre cuando una variable definida como entera, sobrepasa los valores asignados. Una imagen maliciosa descargada desde un sitio Web o enviada en un correo electrónico, podría causar que falle el navegador o el cliente de correo usado. 4. Desbordamiento de entero en libpng png_handle_sPLT() Existe un error potencial de desbordamiento de entero (integer overflow) durante una operación de asignación de memoria en la función png_handle_sPLT(). No se ha especificado claramente que impacto podría tener este error en las aplicaciones que usan libpng. 5. La función libpng png_handle_sBIT() realiza un control insuficiente de límites. Existe un control insuficiente de limites en las funciones png_handle_sBIT() y png_handle_hIST(). Mientras el código que contiene estos errores podría permitir un potencial desbordamiento de búfer en otras funciones --como png_crc_read()--, no se ha especificado qué fallos podrían ocurrir en las aplicaciones que utilicen libpng. 6. Libpng contiene desbordamientos de entero en el despliegue progresivo en la lectura de imagen. Libpng tiene la capacidad de visualización entrelazada, o visualización progresiva de imágenes PNG. Existe una cierta cantidad de potenciales errores de desbordamientos en el manejo de esta característica. Aunque el código que contiene estos errores, introduce condiciones peligrosas, no está claro que tipo de vulnerabilidades prácticas podrían presentarse en las aplicaciones que utilicen libpng. La solución en todos los casos, es aplicar el parche apropiado o actualizar la aplicación tal como lo especifique el correspondiente proveedor en su momento. * Referencias: Nota de seguridad 2004.1 Chris Evans http://scary.beasts.org/security/CESA-2004-001.txt Sitio Web de libpng http://libpng.sourceforge.net Sitio Web de Portable Network Graphics (PNG) http://www.libpng.org/pub/png Nota de vulnerabilidad de US-CERT VU#388984 http://www.kb.cert.org/vuls/id/388984 Nota de vulnerabilidad de US-CERT VU#817368 http://www.kb.cert.org/vuls/id/817368 Nota de vulnerabilidad de US-CERT VU#286464 http://www.kb.cert.org/vuls/id/286484 Nota de vulnerabilidad de US-CERT VU#477512 http://www.kb.cert.org/vuls/id/477512 Nota de vulnerabilidad de US-CERT VU#160448 http://www.kb.cert.org/vuls/id/160448 Nota de vulnerabilidad US-CERT VU#236656 http://www.kb.cert.org/vuls/id/236656 CVE CAN-2004-0597 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0597 CVE CAN-2004-0598 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0598 CVE CAN-2004-0599 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0599 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - WCE/Brador.A. Primer troyano de PocketPC _____________________________________________________________ http://www.vsantivirus.com/brador-a.htm Nombre: WCE/Brador.A Tipo: Caballo de Troya de acceso remoto Alias: Brador, Backdoor.Brador.A, Backdoor.Brador.A, Backdoor.WinCE.Brador.a, Backdoor.WinCE.Brador.a, WinCE/BackDoor-CHK, WINCE_BRADOR.A Fecha: 5/ago/04 Plataforma: Windows CE Tamaño: 5,632 bytes Este troyano, de origen ruso, solo se ejecuta en dispositivos PocketPC con WinCE 2.0 o superior, como sistema operativo. Cuando se ejecuta, envía un correo electrónico para notificar al autor del malware la dirección IP de la víctima. Al mismo tiempo, abre el puerto TCP 2989, lo que permite a un atacante remoto tomar el control del equipo comprometido. El backdoor es capaz de cargar y descargar archivos, y de mostrar mensajes al usuario infectado, además de ejecutar otros comandos en forma remota. El troyano se copia en la carpeta de Inicio de Windows, para ejecutarse en cada reinicio del sistema: \Windows\StartUp\svchost.exe El troyano modifica ligeramente el archivo SVCHOST.EXE en cada reinicio. El troyano no se propaga por si mismo, y podría ser distribuido manualmente, bajo la premisa de que se trata de un programa beneficioso para el usuario. Los canales de distribución incluyen IRC, redes P2P, grupos de noticias, correo electrónico, etc. Se trata del primer troyano de puerta trasera para dispositivos handheld Pocket PC OS 5.0 o superior. El troyano no ha sido detectado en la calle, y solo se ejecuta en unidades basadas en procesadores ARM (ARM es una especificación de procesadores RISC, fabricado por Intel y otros, y utilizado en PocketsPC, etc.) Windows CE es el sistema operativo usado en dispositivos móviles de 32-bits. Soporta múltiples arquitecturas de CPU y opciones incluidas de comunicación y redes, y es utilizado en terminales Web, dispositivos de acceso a Internet, controladores industriales especializados, computadoras de bolsillo (Pocket PCs), etc. Para eliminar manualmente este troyano, borre el archivo SVCHOST.EXE de la carpeta Windows\StartUp con el explorador de Pocket PC, y reinicie el dispositivo. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Myfip.A. Se propaga por redes, roba archivos PDF _____________________________________________________________ http://www.vsantivirus.com/myfip-a.htm Nombre: W32/Myfip.A Tipo: Gusano Alias: Myfip, Win32/Myfip.A, W32.Myfip.A Fecha: 5/ago/04 Plataforma: Windows 32-bit Tamaño: 24,500 bytes Gusano que se propaga por recursos de redes compartidos, e intenta robar archivos PDF del equipo infectado. Cuando se ejecuta, crea el siguiente mutex (especie de indicador en memoria que hace las veces de semáforo), para no ejecutarse más de una vez al mismo tiempo: fjsy Se copia a si mismo en la siguiente ubicación: c:\windows\system32\Dfsvc.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Ejecuta el comando FTP de Windows para descargar el siguiente archivo de un servidor en "net918.meibu.com": ip.domain Este archivo contiene nombre de servidor, nombre de usuario y contraseña para acceder a otro servidor FTP. Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Distributed File System = Dfsvc.exe Busca luego directorios compartidos en redes. Si los encuentra, intenta copiarse en ellos con el siguiente nombre: Iloveyou.txt.exe Si el directorio de red requiere autenticación, el gusano intenta conectarse como administrador, usando alguna de las siguientes contraseñas: !@#$% !@#$%^ !@#$%^& !@#$%^&* ### *** @#$%^& @@@ 000000 00000000 0007 007 007007 0246 0249 111 123 1234 12345 123456 1234567 12345678 123456789 1a2b3c 1p2o3i 1q2w3e 1qw23e 1sanjose 2004 2222 369 4444 4runner 54321 654321 777 7777 888888 911 99999999 a12345 a1b2c3 a1b2c3d4 aaa aaaaaa abby abc abc123 abcd abcd1234 abcde abcdef abcdefg access access action active adam adg adm adm admin Admin admin123 admin123456 administrator Administrator administrator administrator123 administrator123456 administratorpasswd adminpasswd adminpasswd adminpwd asdf asdfg asdfgh asdfghjk asdfjkl asdfjkl; bill bin daemon dgj doc fgh free freedom fuck fuckyou god guest hacker job kim love loveyou lp morris mp3 mypass mypass123 mypc mypc123 newpass nice noaccess nobody parol pass passwd Passwd password Password pentium pizza planet playboy ppp pw123 pwd qwerty root rose sex sexy shit shotgun sos spirit spring sprite ssssss storm super superman support sys telecom temp test test1 test123 upload warez xxx xxxx ytrewq zxcvb zxcvbnm Si logra acceder, intentará crear los siguientes archivos: \\Admin$\system32\temp.txt \\Admin$\system32\Dfsvc.exe \\Admin$\system32\dltksvc.exe Luego registra el archivo DLTKSVC.EXE como un servicio llamado "Distributed Link Tracking Extensions", el cuál ejecuta a DFSVC.EXE con privilegios de administrador. El gusano busca archivos con extensión PDF en todos los recursos accedidos, y los envía al servidor FTP cuyos datos se encuentran en el archivo IP.DOMAIN descargado antes. * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\Dfsvc.exe c:\windows\system32\temp.txt c:\windows\system32\dltksvc.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Distributed File System 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Doep.A. Se propaga por redes P2P _____________________________________________________________ http://www.vsantivirus.com/doep-a.htm Nombre: W32/Doep.A Tipo: Gusano de Internet Alias: Doep.A, Ourtime, W32.Doep.A, W32/Doep.A.worm, W32/Doep.A@p2p, W32/Doep-A, W32/Ourtime!p2p, Win32.HLLW.Poetry, Win32.Ourtime.A, Win32.P2P.Poit.B, Win32/Doep.A, Win32/P2P.Unknown.Worm, Win32:Doep [Wrm], Worm.P2P.Doep.a, Worm.P2P.Doep.A, Worm/Doep.A, Worm/Poetry.A, WORM_DOEP.A, WORM_POIT.A Fecha: 22/jun/04 Plataforma: Windows 32-bit Tamaño: 61,952 (UPX) Gusano que se propaga por redes P2P (KaZaa, Overnet, etc.). Se copia en archivos ZIP cuyo tamaño varía de 100 Kb a más de 15 megas. Cuando se ejecuta, crea el directorio INF dentro de la carpeta System32 de Windows (sin importar la versión de Windows instalada): c:\windows\system32\Inf NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Luego se copia en dicha carpeta: c:\windows\system32\Inf\poet.exe Agrega la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Poet = c:\windows\system32\Inf\poet.exe La primera vez que se ejecuta, muestra una ventana de error falsa, con el siguiente mensaje: Warning Fatal error 15182: cannot open file poet.dll [ OK ] Como marca para no volver a mostrar dicha ventana, crea también el siguiente archivo: c:\windows\system32\poet.log Dicho archivo contiene el siguiente texto: Programming is a poetry for our time Luego, el gusano crea numerosas copias de si mismo en el directorio INF creado antes, y luego modifica el registro para que dicho directorio sea compartido por otros usuarios con las siguientes aplicaciones P2P: Edonkey2000 Emule Kazaa Lphant Overnet Si ninguna de estas aplicaciones existe en la máquina infectada, el gusano no se propaga. El gusano genera archivos .ZIP, conteniendo el archivo de texto README.TXT y una copia de si mismo con la extensión .EXE. En ocasiones, también agrega un archivo con extensión .AVI. El nombre dado al .ZIP será igual al del archivo .EXE. Ejemplo: Archivo .ZIP: Age of Empires - The age of Kings Crack.zip Contenido: readme.txt Age of Empires - The age of Kings Crack.exe Cuando se incluye el archivo .AVI, el nombre del AVI será el del ZIP, y el ejecutable siempre será "Codec DIVX 5.1.1.exe". Ejemplo: Archivo .ZIP: Age of Empires - The age of Kings Crack.zip Contenido: readme.txt Age of Empires - The age of Kings Crack.avi Codec DIVX 5.1.1.exe El archivo .AVI no es un video válido, y solo contiene ceros. Su tamaño varía, teniendo en ocasiones hasta 15 Mb. El ZIP no está comprimido, por lo que también medirá un tamaño similar. El archivo README.TXT contiene el nombre del .ZIP o el texto "DIVX 5.1.1", más una cantidad variable de espacios vacíos. Algunas de las cadenas utilizadas para crear los nombres, las que son combinadas de diferentes formas. No se incluyen todos los textos en esta lista: -. DIVX .- -. MONICA .- -. Self-Extracting .- 13 years 3000 photos 3d Studio Max All Cracks Adobe Photoshop CS 8 adult Age of Empires Age of Empires - Rise of Rome Age of Empires - The age of Kings Age of Empires - The Conquerors Age of Empires 2 Age of Mythology Age of Mythology - The Titans Expansion Alien Vs Predator Alien Vs Predator 2 All Codecs (XVID, DIVX, OGG, OGM, AC3) All Codecs (XVID, DIVX, OGG, OGM, AC3) for WIN Media Player ALL Cracks All Panda Editions Cracks All Windows (95, 98, Me, Nt, 2000, Xp) amateur Anime ANIME .- Hentai -. Aprende a programar virus en 7 dias Baldurs Gate Baldurs Gate 2 Baldurs Gate 2 - Throne of bhaal Battle Realms Battle Realms - Winter of Wolf Battlecruiser Millennium Gold BattleField 1942 Battlefield 1942 - Road To Rome Battlefield 1942 - Secret Weapons of WWII Battlefield Vietnam bed bitch Black Window britney spears Call of Duty Call of Duty PRIVATE SERVER casting City of Heroes Civilization 3 Civilization 3 - Conquests Colin McRae Rally 3 Command & Conquer - Renegade Commandos Commandos 2 Commandos 3 - Destination Berlin Counter Strike - Condition Zero Counter Strike (serials for internet) couple Crack CSI cumshot cute ChampionShip Manager Diablo Diablo 2 Diablo 2 Lord Of Destruction DIVX 5.1.1 Dungeon keeper 2 Dynomite Empire Earth Empire Earth Art of Conquest españolas EverQuest EverQuest 2 french fuck Full Downloader Girl Gran Turismo 3 Gran Turismo 4 Halflife Halflife 2 Halo 2 HENTAI hidden camera How to crack Windows Xp and Office XP I LiKe SuRFing on THe Web incest KeyGen LAST Official Patch lesbian lolita Lord of the Rings - Fellowship of The Ring Lord of the Rings - Return of the King Lord of the Rings - The Two Towers Mahjongg Deluxe Merrit Cabal && Pamela Anderson Metal Gear Acid Metal Gear Solid Metal Gear Solid 3 - Snake Eater More than 300 Game Cracks (astalavista.com Group) naked NetsKy && Sasser Patch WIN XP Anti Virus NOCD Norton PainKiller Pamela Anderson Pamela Anderson Multimedia Screen Saver Patch Sasser FixTool Pc Futbol Pc Real Madrid Phantasy Star Online photos playboy porn porno preteen Principe de Persia - Sand of time Psi - Ops pussy Quake 3 Quake 4 qwerty Ragnarok Online rape Service Pack 1 & 2 WIN XP sex sexe Shaved sister slut Splinter Cell Splinter Cell Pandora Tomorrow Star Wars Galaxies (how to play free online) Starcraft BroodWar Sucks sybian Sylvia Saint teen --The Best Compressed videos DIVX 5-- The Sims (all expansions) The Sims 2 Universal Combat Unreal 2 Unreal 2 - The Awakening Unreal Tournament Unreal Tournament 2003 upskirt video --Video Collection-- Warcraft 3 - Frozen Throne Warcraft 3 - Reign Of Chaos Warcraft Online Windows XP Password Recovery - Unlock Administrator Windows XP Pro Serial Key Changer Windows Xp Sp1 Service Pack Windows Xp Sp2 Service Pack WindowsXP-KB835732-x86-ESN World of Warcraft (play online free) www.CompressedXXXVideos.com XVID Codec For Windows Media Player young El gusano también borra numerosas claves del registro relacionadas con otros virus (Sasser, Netsky, Bagle, Lovgate, etc.): HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avserve.exe = avserve2.exe = Service Host = Program In Windows = VFW Encoder/Decoder Settings = Protected Storage = BagleAV = Norton Antivirus AV = skynetave.exe = SysMonXP = ICQ Net = HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run drvsys.exe = drvddll.exe = HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices SystemTra = HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows run = * Reparación manual * Deshabilitar las carpetas compartidas de programas P2P Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema. Para ello, siga las instrucciones del siguiente artículo: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre la carpeta INF y su contenido, en la siguiente ubicación: c:\windows\system32\INF Borre el siguiente archivo: c:\windows\system32\POET.LOG Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Poet 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Actualizaciones: 23/06/04 - 07:39 -0300 (Alias: WORM_POIT.A) 05/08/04 - 12:42 -0300 (Renombrado de Ourtime.A a Doep.A) 05/08/04 - 12:42 -0300 (Alias: Doep.A) 05/08/04 - 12:42 -0300 (Alias: W32.Doep.A) 05/08/04 - 12:42 -0300 (Alias: W32/Doep.A.worm) 05/08/04 - 12:42 -0300 (Alias: W32/Doep.A@p2p) 05/08/04 - 12:42 -0300 (Alias: W32/Doep-A) 05/08/04 - 12:42 -0300 (Alias: Win32.HLLW.Poetry) 05/08/04 - 12:42 -0300 (Alias: Win32.P2P.Poit.B) 05/08/04 - 12:42 -0300 (Alias: Win32/Doep.A) 05/08/04 - 12:42 -0300 (Alias: Win32:Doep [Wrm]) 05/08/04 - 12:42 -0300 (Alias: Worm.P2P.Doep.A) 05/08/04 - 12:42 -0300 (Alias: Worm/Doep.A) 05/08/04 - 12:42 -0300 (Alias: Worm/Poetry.A) 05/08/04 - 12:42 -0300 (Alias: WORM_DOEP.A) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1492 Año 8, viernes 6 de agosto de 2004