Mostrando mensaje 532     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1483 Año 8, miércoles 28 de julio de 2004 Fecha: Miercoles, 28 de Julio, 2004  00:11:38 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1483 Año 8, miércoles 28 de julio de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Ataques a los puntos claves de Internet 2 - W32/Zindos.A. Se propaga usando el gusano Mydoom 3 - W32/Lovgate.AL. Usa e-mail y recursos compartidos 4 - W32/Mabutu.A. Se propaga por e-mail y usa IRC _____________________________________________________________ 1 - Ataques a los puntos claves de Internet _____________________________________________________________ http://www.vsantivirus.com/28-07-04.htm Ataques a los puntos claves de Internet Por Angela Ruiz angela@videosoft.net.uy DoubleClick Inc., la compañía que proporciona servicios para la publicidad en línea (banners publicitarios), de la mayoría de los sitios Web más populares, fue el blanco de un sofisticado ataque este martes. Es la tercera vez en dos meses que los piratas informáticos han puesto su mira en uno de los más importantes sitios relacionados con el mundo del comercio en Internet. En las primeras horas de la mañana del martes 27, atacantes desconocidos saturaron los servidores de DoubleClick, inundándolos con miles de solicitudes falsas de páginas Web, bloqueando el acceso a muchos sitios importantes que descargan las imágenes de los avisos publicitarios gestionados por la compañía. El ataque a su vez, hizo que los demás usuarios de Internet, tuvieran dificultades para visualizar las páginas de la mayoría de los 40 sitios más visitados de la red. En el pico más alto del ataque, las páginas afectadas estuvieron disponibles menos de un 25 por ciento del tiempo habitual, según Keynote Systems Inc., una compañía californiana que controla el rendimiento de la red. La portavoz de DoubleClick, Jennifer Blum dijo que el ataque se concentró en los servidores de nombre de dominio de la compañía (DNS) -- las máquinas que ayudan a dirigir el tráfico de Internet -- causando "severas interrupciones del servicio" para la mayoría de sus más de 900 clientes. Blum dijo también que el fallo fue causado por un ataque distribuido de denegación de servicio (DDoS), en el cuál piratas informáticos utilizaron millares de computadoras secuestradas para saturar los servidores con tantos pedidos falsos de páginas, que los deja inaccesibles para los usuarios legítimos. "Al principio de la mañana del martes, nuestra infraestructura DNS cayó bajo un ataque de denegación de servicio desde fuentes externas," dijo Blum. "La situación ha mejorado sobre las últimas horas y seguiremos tomando las medidas necesarias para resolver definitivamente la situación." Entre los sitios que más sufrieron, se encontraban Nortel Networks, Gateway Inc., MCI Inc., CNN.com y Schwab.com, según Keynote. Las páginas del sitio Web del periódico The Washington Post, también cargaban muy lentamente durante varias de las primeras horas de la mañana, antes que la compañía decidiera bloquear los anuncios de DoubleClick para mejorar la accesibilidad a sus usuarios. El ataque a DoubleClick llegó menos de 24 horas después que piratas informáticos liberaron una nueva versión del gusano "Mydoom", el cuál ocasionó problemas similares de denegación de servicio a Google, Yahoo y a otros dos buscadores de Internet, al usarlos para propagarse, como relatábamos ayer en VSAntivirus. La gran cantidad de solicitudes desde las computadoras infectadas por el Mydoom, dejó a muchos usuarios de Internet incapaces de acceder a esos sitios, aunque expertos de seguridad dijeran que el impacto en los motores de búsqueda fuera probablemente involuntario. Sin embargo, en la tarde del mismo martes, un nuevo gusano creado presumiblemente por los mismos programadores del Mydoom, el Zindos.A, se empezó a propagar a través de los equipos infectados por el Mydoom, dirigiendo un nuevo ataque DoS, pero esta vez voluntario, y dirigido al sitio de Microsoft. Los expertos en seguridad piensan que el ataque específico a DoubleClick, es similar al asalto del mes pasado contra Akamai Technologies, una compañía que distribuye el contenido Web para empresas como Google, Microsoft y Yahoo. En ese ataque, los piratas informáticos se valieron de millares de computadoras que habían sido secuestradas y convertidas en máquinas zombis, para saturar los servidores DNS de Akamai, bloqueando el acceso a muchos de los clientes de la compañía por casi dos horas. "Una de las cosas que hace que Internet pueda sobrevivir, es que ninguna compañía o tecnología ejecuta el total de algo," dijo Lloyd Taylor, vicepresidente de tecnología de Keynote. "En este caso, al igual que con el problema de Akamai, los atacantes se concentraron en una infraestructura común en la que confían muchas otras compañías." El ataque a DoubleClick es otro signo de que los atacantes comienzan a concentrarse en puntos de presión claves de Internet, aquellos que cuando son estrangulados con alguna clase de presión, oscurecen a toda la red para la mayoría de los usuarios, dijo Johannes Ullrich, oficial principal de tecnología del Internet Storm Center del SANS Institute. "Los piratas informáticos no necesitan atacar a todo Internet. Si usted ataca Akamai o a DoubleClick, puede bloquear al 95 por ciento de lo que muchas personas consideran es Internet," dijo Ullrich. "El FBI no investiga oficialmente el incidente, porque DoubleClick no ha realizado ningún informe", dijo un portavoz de la oficina federal de investigación, Megan Baroska. * Fuente: Internet Attack Targets DoubleClick http://www.securityfocus.com/news/9224 * Relacionados: Google atacado por el gusano Mydoom http://www.vsantivirus.com/27-07-04.htm W32/Zindos.A. Se propaga usando el gusano Mydoom http://www.vsantivirus.com/zindos-a.htm W32/Mydoom.R. Gusano de gran propagación http://www.vsantivirus.com/mydoom-r.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Zindos.A. Se propaga usando el gusano Mydoom _____________________________________________________________ http://www.vsantivirus.com/zindos-a.htm Nombre: W32/Zindos.A Tipo: Gusano de Internet Alias: Zindos.A, Win32/Zindos.A, W32.Zindos.A, W32/Zindos.worm, W32/Zindos-A Fecha: 27/jul/04 Plataforma: Windows 32-bit Tamaño: 5,760 bytes Este gusano realiza ataques de denegación de servicio (DoS) al sitio web de Microsoft. Se propaga con la ayuda del Mydoom.R, utilizando el troyano Zincite.A, un servidor de puerta trasera que instala el Mydoom, y que al ejecutarse intenta conectarse con otros sistemas infectados, probando direcciones al azar por el puerto 1034. A través de este puerto se propaga el Zindos.A, buscando otros equipos infectados por el Mydoom.R, a los que luego se envía y ejecuta. El Mydoom y el Zindos parecen ser del mismo autor, conformando entre ambos una especie de ataque de dos etapas. Mydomm.R infecta las computadoras y ejecuta el backdoor Zincite, y luego el Zindos busca estas computadoras para ejecutarse en ellas. Cuando Zindos se ejecuta, crea una copia de si mismo en la carpeta TEMP con un nombre al azar (la extensión es siempre .EXE): \TEMP\[nombre].exe NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. También crea una de las siguientes entradas en el registro, para ejecutarse automáticamente en cada reinicio del sistema: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Tray = [Nombre del gusano].exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run Tray = [Nombre del gusano].exe Luego, realiza un ataque de denegación de servicio al sitio de Microsoft. El ataque a www .microsoft .com comienza a los 3 minutos de ejecutarse el gusano. Luego, intenta en forma continua descargar una página, cada 50ms (los intervalos de descarga comienzan cada 1 segundo y van aumentando el tiempo de descarga en 0,25 segundos en cada descarga). Antes del ataque, el gusano busca también otros equipos infectados con el Mydoom.R para copiarse y ejecutarse en ellos. * Reparación manual Asegúrese de eliminar también todo rastro del gusano Mydoom.R y del backdoor Zincite.A, como se indica en el siguiente enlace: W32/Mydoom.R. Gusano de gran propagación http://www.vsantivirus.com/mydoom-r.htm * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, asegúrese de haber reiniciado Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Tray 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Tray 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Lovgate.AL. Usa e-mail y recursos compartidos _____________________________________________________________ http://www.vsantivirus.com/lovgate-al.htm Nombre: W32/Lovgate.AL Tipo: Gusano de Internet Alias: Lovgate.AL, WORM_LOVGATE.AE, W32/Lovgate.af2@MM Plataforma: Windows 32-bit Tamaño: 153,600 bytes Fecha: 26/jul/04 Puerto: TCP al azar Gusano que se propaga masivamente por correo electrónico, y recursos compartidos en redes. La máquina infectada puede ser accedida por un atacante a través de una puerta trasera instalada por el gusano. Los mensajes infectados pueden tener adjuntos con extensiones .EXE, .PIF, .SCR, .COM, .RAR o .ZIP. El mensaje también puede ser la respuesta a un mensaje enviado anteriormente a un usuario que ahora ha sido infectado (no abra adjuntos de usuarios conocidos sin haber confirmado con el remitente su envío, podría ser una respuesta automática del gusano a uno de sus mensajes, en un mensaje infectado). Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows y del Outlook, y a todas las direcciones que extrae de archivos de las máquinas infectadas. Detalles de los mensajes: De: [remitente falso, creado con los datos de la siguiente lista] accoun acketst alice andrew anyone arin. be_loyal: berkeley borlan brenda brent brian certific claudia contact david debby example feste george gold-certs google helen hotmail ibm.com icrosof icrosoft inpris isc.o isi.e james jerry jimmy julie kernel kevin linda linux listserv maria michael mit.e mozilla mydomai nobody noone nothing ntivi panda peter postmaster privacy rating rfc-ed ripe. robert ruslis samples sandra secur sendmail service smith somebody someone sopho steve submit support tanford.e the.bat usenet utgers.ed webmaster Asunto: [uno de los siguientes] hello hi Mail Delivery System Mail Transaction Failed Texto del mensaje: [uno de los siguientes] - It's the long-awaited film version of the Broadway hit. The message sent as [****] - Mail failed. For further assistance, please contact! - pass - The message contains Unicode characters [****] NOTA [****]: Debido a que muchos proveedores están filtrando los mensajes con estos textos, los mismos son omitidos en este boletín. Puede verlos en http://www.vsantivirus.com/lovgate-ah.htm Datos adjuntos: [nombre]+[extensión] Donde [nombre] es uno de los siguientes: body data doc document file message readme test text Y [extensión] una de las siguientes: .com .exe .pif .rar .scr También puede incluir adjuntos con extensión .ZIP y cualquier nombre. Además, se envía como respuesta a mensajes no leídos encontrados en la bandeja de entrada del Outlook, Outlook Express y otros clientes de correo compatibles. En este caso, estos son los detalles del mensaje: Asunto: Re: [asunto del mensaje que se responde] Texto del mensaje: [texto del mensaje que se responde] [nombre dominio] account auto-reply: If you can keep your head when all about you Are losing theirs and blaming it on you; If you can trust yourself when all men doubt you, But make allowance for their doubting too; If you can wait and not be tired by waiting, Or, being lied about,don't deal in lies, Or, being hated, don't give way to hating, And yet don't look too good, nor talk too wise; ... ... more look to the attachment. > Get your FREE [nombre dominio] now! < Donde [nombre dominio] es el mismo dominio del destinatario. Datos adjuntos: [uno de los siguientes] Britney spears nude.exe.txt.exe Deutsch BloodPatch!.exe dreamweaver MX (crack).exe DSL Modem Uncapper.rar.exe How to Crack all gamez.exe I am For u.doc.exe Industry Giant II.exe joke.pif Macromedia Flash.scr Me_nude.AVI.pif s3msong.MP3.pif SETUP.EXE Sex in Office.rm.scr Shakira.zip.exe StarWars2 - CloneAttack.rm.scr the hardcore game-.pif WinExec Cuando se ejecuta, el gusano crea los siguientes archivos en la máquina infectada: \autorun.inf \cdrom.com c:\windows\cdplay.exe c:\windows\exploier.exe c:\windows\system\hxdef.exe c:\windows\system\iexplore.exe c:\windows\system\iexplorer.exe c:\windows\system\kernel66.dll c:\windows\system\lmmib20.dll c:\windows\system\msjdbc11.dll c:\windows\system\mssign30.dll c:\windows\system\netmeeting.exe c:\windows\system\odbc16.dll c:\windows\system\ravmond.exe c:\windows\system\spollsv.exe c:\windows\system\tkbellexe.exe c:\windows\system\update_ob.exe El archivo KERNEL66.DLL es copiado con los atributos de solo lectura, oculto y del sistema (+R +H +S). NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). También genera las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Hardware Profile = c:\windows\system\hxdef.exe Microsoft Associates, Inc. = iexplorer.exe Protected Storage = rundll32.exe mssign30.dll ondll_reg Shell Extension = c:\windows\system\spollsv.exe VFW Encoder/Decoder Settings = rundll32.exe mssign30.dll ondll_reg WinHelp = c:\windows\system\tkbellexe.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices COM++ System = exploier.exe SystemTra = c:\windows\cdplay.exe En equipos con Windows NT, 2000 y XP, crea también las siguientes entradas: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Run = ravmond.exe Crea un recurso compartido en red con el siguiente nombre: Media El mismo está mapeado a la siguiente ubicación: c:\windows\media Se copia en dicha carpeta con los siguientes nombres: autoexec.bat Cain.pif client.exe Documents and Settings.txt.exe findpass.exe i386.exe Internet Explorer.bat Microsoft Office.exe mmc.exe MSDN.ZIP.pif Support Tools.exe Windows Media Player.zip.exe WindowsUpdate.pif winhlp32.exe WinRAR.exe xcopy.exe Crea dos archivos llamados "CDROM.COM" y "AUTORUN.INF" respectivamente, y los copia en el directorio raíz de todas las unidades de disco excepto CDROM y removibles. El archivo AUTORUN.INF contiene las instrucciones para ejecutar CDROM.COM. Crea un archivo con alguno de los siguientes nombres en el raíz de todos las unidades de discos, excepto A y B: bak.rar bak.zip important.rar important.zip letter.rar letter.zip pass.rar pass.zip setup.rar setup.zip work.rar work.zip Cada archivo comprimido contiene a su vez, alguno de los siguientes archivos: book.com book.exe book.pif book.scr email.com email.exe email.pif email.scr important.com important.exe important.pif important.scr password.com password.exe password.pif password.scr setup.com setup.exe setup.pif setup.scr work.com work.exe work.pif work.scr El gusano también se registra a si mismo como un servicio de nombre "_reg": HKLM\System\ControlSet001\Services\_reg Image Path = Rundll32.exe msjdbc11.dll ondll_server HKLM\System\CurrentControlSet\Services\_reg Image Path = Rundll32.exe msjdbc11.dll ondll_server Escucha por un puerto TCP al azar. El proceso de acceso remoto por puerta trasera (backdoor), roba información del sistema comprometido. Esta información es almacenada por el troyano en el siguiente archivo: c:\netlog.txt Luego, la misma puede ser enviada vía correo electrónico a un usuario remoto. También examina todas las máquinas de la red local (si existiera), e intenta logearse en ellas como administrador, utilizando alguna de las siguientes contraseñas: !@#$% !@#$% !@#$% !@#$% 000000 00000000 111111 11111111 121212 123123 12345 123456 1234567 12345678 123456789 123abc 123asd 54321 654321 666666 888888 88888888 abc123 abcdef abcdefg Admin admin admin123 Administrator administrator alpha asdfgh computer database enable godblessyou guest Guest Internet login Login mypass mypass123 mypc123 oracle owner passwd password Password pw123 secret server super sybase temp123 test123 El gusano también intenta logearse como administrador si la cuenta no tiene contraseña. Si obtiene éxito, se copia a si mismo como NETMANAGER32.EXE en la siguiente ubicación: \\[nombre computadora]\admin$\system32\netmanager32.exe También inicia un servicio llamado "Windows Management NetWork Service Extensions" que es mapeado como "netmanager32.exe -exe_start". El gusano utiliza un script para crear y ejecutar un componente FTP, el cuál explota la vulnerabilidad RPC/DCOM de Windows, para descargar una copia del propio gusano en otros equipos, en un archivo llamado HXDEF.EXE. El gusano se ejecuta automáticamente después que se ha descargado. Intenta finalizar los procesos activos cuyos nombres contengan las siguientes cadenas: mcafee ravmon.exe rfw.exe rising skynet symantec * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar los recursos compartidos Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: \autorun.inf \cdrom.com c:\windows\cdplay.exe c:\windows\exploier.exe c:\windows\system\hxdef.exe c:\windows\system\iexplore.exe c:\windows\system\iexplorer.exe c:\windows\system\kernel66.dll c:\windows\system\lmmib20.dll c:\windows\system\msjdbc11.dll c:\windows\system\mssign30.dll c:\windows\system\netmeeting.exe c:\windows\system\odbc16.dll c:\windows\system\ravmond.exe c:\windows\system\spollsv.exe c:\windows\system\tkbellexe.exe c:\windows\system\update_ob.exe El archivo "CDROM.COM", así como "AUTORUN.INF", se copian en todas las unidades de disco excepto CDROM y removibles. * En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" "Mi PC", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: netmanager32.exe 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: netmanager32.exe 4. Verifique que en "Buscar en:" esté seleccionado "Mi PC" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Modificar WIN.INI * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo WIN.INI en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre WIN.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. * Usuarios de Windows 95, 98 y Me: 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Si existe alguna referencia a los archivos del en la línea "run=" bajo la sección [windows], bórrelo. Por ejemplo: [Windows] run = ravmond.exe Debe quedar como: [Windows] run= 3. Grabe los cambios y salga del bloc de notas. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows NT \CurrentVersion \Windows 3. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Run 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: COM++ System SystemTra 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run 7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Hardware Profile Microsoft Associates, Inc. Protected Storage Shell Extension VFW Encoder/Decoder Settings WinHelp 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \ControlSet001 \Services 9. Pinche en la carpeta "Services" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: _reg 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services 11. Pinche en la carpeta "Services" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: _reg 12. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Mabutu.A. Se propaga por e-mail y usa IRC _____________________________________________________________ http://www.vsantivirus.com/mabutu-a.htm Nombre: W32/Mabutu.A Tipo: Gusano de Internet Alias: Mabutu, Win32/Mabutu.A, W32/Mabutu.a@MM Fecha: 27/jul/04 Plataforma: Windows 32-bit Tamaño: 32,768 bytes (EXE), 48,640 bytes (DLL) Este gusano se propaga en forma masiva vía correo electrónico. Posee su propio motor SMTP para enviarse, y utiliza direcciones falsas como remitente. Las direcciones a las que se envía, son obtenidas de la máquina infectada. Está formado por un componente .EXE que libera un .DLL al ejecutarse. El gusano obtiene direcciones electrónicas de archivos con las siguientes extensiones: .htm .html .txt .wab Los mensajes enviados tienen las siguientes características: Asunto: [uno de los siguientes] Hello Hi I'm in love Important Sex Wet girls Datos adjuntos: [algunos ejemplos] [letras y números al azar] britney creme_de_gruyere details document fetishes gutted jenifer photo Los archivos usan alguna de estas extensiones: .scr .zip Ejemplos: K7653425.scr britney.zip creme_de_gruyere.scr document.scr fetishes.zip Cuando es un .ZIP, su contenido es un archivo con doble extensión y nombre al azar: [nombre].jpg [múltiples espacios] .scr [nombre].txt [múltiples espacios] .scr Cuando se ejecuta, el gusano crea los siguientes archivos en la carpeta de Windows: c:\windows\??twain.dat c:\windows\?twain.dll c:\windows\?twain.exe c:\windows\cfg.dat Donde "?" representa una o dos letras al azar. Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run winupd = RUNDLL32.EXE c:\windows\?twain.dll, _mainRD El gusano intenta conectarse a un servidor IRC por el puerto TCP/6667, utilizando alguno de los siguientes servidores: amsterdam.nl.eu.undernet.org amsterdam2.nl.eu.undernet.org ann-arbor.mi.us.undernet.org arlington.va.us.undernet.org atlanta.ga.us.undernet.org auckland.nz.undernet.org austin.tx.us.undernet.org baltimore.md.us.undernet.org brussels.be.eu.undernet.org caen.fr.eu.undernet.org dallas.tx.us.undernet.org diemen.nl.eu.undernet.org flanders.be.eu.undernet.org graz.at.eu.undernet.org graz2.at.eu.undernet.org haarlem.nl.eu.undernet.org lasvegas.nv.us.undernet.org london.uk.eu.undernet.org los-angeles.ca.us.undernet.org lulea.se.eu.undernet.org manhattan.ks.us.undernet.org mclean.va.us.undernet.org mesa.az.us.undernet.org montreal.qu.ca.undernet.org moscow.ru.eu.undernet.org newbrunswick.nj.us.undernet.org newyork.ny.us.undernet.org oslo.no.eu.undernet.org phoenix.az.us.undernet.org plano.tx.us.undernet.org quebec.qu.ca.undernet.org saltlake.ut.us.undernet.org stockholm.se.eu.undernet.org surrey.uk.eu.undernet.org toronto.on.ca.undernet.org vancouver.bc.ca.undernet.org washington.dc.us.undernet.org * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\??twain.dat c:\windows\?twain.dll c:\windows\?twain.exe c:\windows\cfg.dat Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: winupd 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1483 Año 8, miércoles 28 de julio de 2004