Mostrando mensaje 537     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1488 Año 8, lunes 2 de agosto de 2004 Fecha: Lunes, 2 de Agosto, 2004  00:08:32 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1488 Año 8, lunes 2 de agosto de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Troj/Mitglieder.AT. Descarga y ejecuta archivos 2 - W32/Wukill.F. Se propaga por redes y disquetes 3 - W32/Wukill.E. Se propaga en un mensaje en chino 4 - W32/Wukill.D. Se propaga por redes y disquetes 5 - W32/Wukill.C. Se propaga por redes y disquetes 6 - W32/Wukill.B. Datos adjuntos: "MShelp.EXE" _____________________________________________________________ 1 - Troj/Mitglieder.AT. Descarga y ejecuta archivos _____________________________________________________________ http://www.vsantivirus.com/troj-mitglieder-at.htm Nombre: Troj/Mitglieder.AT Tipo: Caballo de Troya Alias: Mitglieder.AT, Trojan.Mitglieder.M, TrojanClicker.Win32.Small.ak, TrojanClicker.Win32.Small.al, W32/Bagle.am!proxy, W32/Bagle.dll.gen, Win32.Glieder, Win32.Glieder.C, Win32/Glieder.DLL.Trojan, Win32/TrojanDownloader.Small.NAO, Win32/TrojanProxy.Mitglieder.AT, Win32/TrojanProxy.Mitglieder.AT.dropper Fecha: 31/jul/04 Plataforma: Windows 32-bit Tamaño: 5,924 bytes (FSG) Puerto: UDP 1056 Este troyano ha sido reportado por usuarios infectados con el gusano Bagle. Dicho gusano descarga y ejecuta a este troyano luego de una infección. También puede ser descargado por otros troyanos, o desde sitios web maliciosos. Funciona como un repetidor de e-mails, y es capaz de finalizar la ejecución de numerosos programas, además de reenviar información de la víctima a usuarios remotos. También intenta descargar y ejecutar otros archivos desde Internet. Cuando se ejecuta, crea los siguientes archivos en el sistema infectado: c:\windows\system\windirect.exe c:\windows\system\_dll.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run win_upd2.exe = c:\windows\system\windirect.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run win_upd2.exe = c:\windows\system\windirect.exe Luego, el troyano inyecta el archivo _DLL.EXE como un hilo dentro de un proceso llamado "Shell_TrayWnd". Este proceso puede continuar ejecutándose hasta el próximo reinicio de Windows. Cómo resultado, el troyano no se mostrará en la lista de procesos del Administrador de Tareas. El troyano es capaz de finalizar los procesos que tengan los siguientes nombres: atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avpupd.exe avwupd32.exe avxquar.exe avxquar.exe cfiaudit.exe drwebupw.exe escanh95.exe escanhnt.exe firewall.exe icssuppnt.exe icsupp95.exe luall.exe mcupdate.exe nupgrade.exe outpost.exe sys_xp.exe sysxp.exe update.exe winxp.exe Intenta descargar un archivo con nombre ~.EXE de los siguientes sitios de Internet: 134 .102 .228 .45 196 .12 .49 .27 213 .188 .129 .72 64 .62 .172 .118 abi-2004 .org advm1 .gm .fh-koeln .de alexey .pioneers .com .ru alfinternational .ru aus-Zeit .com binn .ru burn2k .ipupdater .com carabi .ru catalog .zelnet .ru cavalierland .5u .com celine .artics .ru colleen .ai .net controltechniques .ru change .east .ru dev .tikls .net diablo .homelinux .com dodgetheatre .com dozenten .f1 .fhtw-berlin .de emnesty .w .interia .pl emnezz .e-mania .pl euroviolence .com evadia .ru fairy .dataforce .net financial .washingtonpost .com free .bestialityhost .com gutemine .wu-wien .ac .at herzog .cs .uni-magdeburg .de home .profootball .ru host .businessweek .com host .wallstreetcity .com host23 .ipowerweb .com hsr .zhp .org .pl infokom .pl kafka .punkt .pl kooltokyo .ru kypexin .ru lars-s .privat .t-online .de lottery .h11 .ru matzlinger .com megion .ru mmag .ru molinero-berlin .de momentum .ru niebo .net nominal .kaliningrad .ru omegat .ru ourcj .com packages .debian .or .jp pb195 .slupsk .sdi .tpnet .pl photo .gornet .ru pixel .co .il pocono .ru polobeer .de porno-mania .net protek .ru przeglad-tygodnik .pl przeglad-tygodnik .pl quotes .barchart .com r2626r .de rausis .latnet .lv relay .great .ru republika .pl sacred .ru sbuilder .ru sec .polbox .pl shadkhan .ru silesianet .pl silesianet .pl slavarik .ru sovea .de spbbook .ru strony .wp .pl szm .sk tarkosale .net tdi-router .opola .pl terramail .pl thorpedo .us traveldeals .sidestep .com ultimate-best-hgh .0my .net vip .pnet .pl werel1 .web-gratis .net www .5100 .ru www .aannemers-nederland .nl www .abcdesign .ru www .airnav .com www .aktor .ru www .ankil .ru www .antykoncepcja .net www .aphel .de www .artics .ru www .astoria-stuttgart .de www .avant .ru www .baltmatours .com www .baltnet .ru www .biratnagarmun .org .np www .biysk .ru www .boglen .com www .bridesinrussia .com www .busheron .ru www .ccbootcamp .com www .ciachoo .pl www .chat4adult .com www .chelny .ru www .dami .com .pl www .ddosers .net www .dicto .ru www .dilver .ru www .dsmedia .ru www .dynex .ru www .elemental .ru www .elit-line .ru www .epski .gr www .forbes .com www .free-time .ru www .gamma .vyborg .ru www .gantke-net .com www .gin .ru www .glass-master .ru www .glavriba .ru www .gradinter .ru www .hack-gegen-rechts .com www .hbz-nrw .de www .hgr .de www .hgrstrailer .com www .ifa-guide .co .uk www .iluminati .kicks-ass .net www .infognt .com www .intellect .lvc www .interfoodtd .ru www .interrybflot .ru www .inversorlatino .com www .jewishgen .org www .k2kapital .com www .kefaloniaresorts .com www .lamatec .com www .landofcash .net www .laserbuild .ru www .math .kobe-u .ac .jp www .mcschnaeppchen .com www .mdmedia .org www .met .pl www .metacenter .ru www .milm .ru www .myrtoscorp .com www .nefkom .net www .neostrada .pl www .neprifan .ru www .netradar .com www .no-abi2003 .de www .oldtownradio .com www .omnicom .ru www .oshweb .com www .pakwerk .ru www .perfectgirls .net www .perfectjewel .com www .peterstar .ru www .pgipearls .com www .phg .pl www .PlayGround .ru www .porsa .ru www .porta .de www .rafani .cz www .rastt .ru www .republika .pl www .republika .pl www .rollenspielzirkel .de www .rubikon .pl www .rumbgeo .ru www .rweb .ru www .scli .ru www .sdsauto .ru www .sensi .com www .silesianet .pl www .sjgreatdeals .com www .sposob .ru www .strefa .pl www .tanzen-in-sh .de www .taom-clan .de www .tayles .com www .teatr-estrada .ru www .teleline .ru www .thepositivesideofsports .com www .timelessimages .com www .tuhart .net www .vconsole .net www .vendex .ru www .virtmemb .com www .vivamedia .ru www .vrack .net www .wapf .com www .webpark .pl www .webronet .com www .webzdarma .cz www .yarcity .ru www .youbuynow .com www .zeiss .ru www .zelnet .ru www .zhp .gdynia .pl wynnsjammer .proboards18 .com yaguark .h10 .ru Si logra descargarlo, el archivo es copiado en la carpeta de Windows y luego ejecutado: c:\windows\~.exe El troyano abre el siguiente puerto en las máquinas infectadas: UDP/1056 * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\~.exe c:\windows\system\windirect.exe c:\windows\system\_dll.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: win_upd2.exe 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: win_upd2.exe 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Wukill.F. Se propaga por redes y disquetes _____________________________________________________________ http://www.vsantivirus.com/wukill-f.htm Nombre: W32/Wukill.F Tipo: Gusano de Internet Alias: Wukill.F, WORM_WUKILL.F, Win32/Wukill.F, W32.Wullik@mm, W32/Wukill.worm, Win32/NewMalware.R, I- Worm.Wukill, Win32/Outlook_OLE.Unknown.Worm, Win32/Wukill.C worm, I-Worm/Wukill.C Fecha: 1/ago/04 Plataforma: Windows 32-bit Tamaño: 28,672 bytes Este gusano, escrito en Visual Basic 6, requiere la presencia de la librería MSVBVM60.DLL para ejecutarse. De características no destructivas, está diseñado para propagarse a través de redes, disquetes y correo electrónico. En éste último caso, y en algunos casos, puede fallar en su intento. Si lo logra, los mensajes enviados, están escritos en chino. El ejecutable, presenta el icono de búsqueda (una carpeta con una lupa). [ver imagen en http://www.vsantivirus.com/wukill-f.htm] Cuando se ejecuta por primera vez, muestra el siguiente mensaje de error para disimular su acción, haciendo creer al usuario que el archivo está dañado y por lo tanto no se ha ejecutado: Warning This File Has Been Damage! [ OK ] Si ese mensaje aparece, sin importar la acción siguiente del usuario, el gusano queda residente en memoria, y examina si su propio ejecutable está en la carpeta de Windows. Si no está allí, crea una copia de si mismo en esa carpeta: c:\windows\mstray.exe Luego modifica el registro para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run RavTime = c:\windows\mstray.exe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\mstray.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: RavTime 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Wukill.E. Se propaga en un mensaje en chino _____________________________________________________________ http://www.vsantivirus.com/wukill-e.htm Nombre: W32/Wukill.E Tipo: Gusano de Internet Alias: Wukill.E, Win32/Wukill.E, WORM_WUKILL.E, W32.Wullik@mm, W32.Wukill.worm Tamaño: 53,248 bytes Fecha: 19/jul/04 Plataforma: Windows 32-bit Gusano escrito en Visual Basic, que se envía en forma masiva a través del correo electrónico. El mensaje contiene textos en chino, mostrados como caracteres extraños en una configuración de Windows en español (o en cualquier otro idioma que no sea chino), y presenta estas características: De: [dirección del usuario infectado] Asunto: ????? Texto del mensaje: (en chino) Datos adjuntos: [uno de los siguientes] document.exe explorer.exe windows.exe Donde los caracteres "????" son chinos (o caracteres sin sentido si no se tiene instalado ese idioma). Cuando se ejecuta por primera vez, se copia en la siguiente ubicación: c:\windows\msdostray.com El gusano también crea copias de si mismo en la unidad de disquete A, en el disco duro C, y en las unidades mapeadas de red D y E (si existen), usando el siguiente nombre: explorer.exe Luego modifica el registro para autoejecutarse en cada reinicio, agregando una de las siguientes entradas: HKLM\Software\Microsoft\Windows\CurrentVersion\Run KaV3000XP = c:\windows\msdostray.com HKLM\Software\Microsoft\Windows\CurrentVersion\Run RavTimeXP = c:\windows\msdostray.com HKLM\Software\Microsoft\Windows\CurrentVersion\Run KaV300XP = c:\windows\msdostray.com NOTA: "c:\windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "c:\windows" en Windows 9x/ME/XP o "c:\winnt" en Windows NT/2000). El gusano intenta ocultar los archivos con extensión .EXE, cambiando su icono por el icono asignado a las carpetas. También modifica las siguientes claves del registro, para ocultar al usuario todos los archivos con atributos de oculto (+H) y de sistema (+S) y para asegurarse de que aparezca el camino completo en la barra del título del explorador de Windows: HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Explorer\Advanced Hidden = 0 HideFileExt = 1 HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Explorer\CabinetState FullPath = 1 Las direcciones a las que se envía, son obtenidas de archivos contenidos en carpetas del Outlook Express que contengan las siguientes cadenas en sus nombres: Calendar Contacts Deleted Items Drafts Inbox Journal Notes Offline Outbox Sent Items Tasks El gusano contiene el siguiente texto en su código: Company Name: gy Internal Name: wukill Language: Chinese (PRC) Original Filename: wukill.exe Product Name: xgtray Product Version: 1.0 Este gusano requiere la presencia de la librería MSVBVM60.DLL para ejecutarse. * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\msdostray.com Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes posibles entradas: KaV3000XP RavTimeXP KaV300XP 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Explorer \Advanced 5. Pinche en la carpeta "Advanced" y en el panel de la derecha, bajo la columna "Nombre", cambie el valor de "Hidden" a "1" y el de "HideFileExt" = "0" (Hexadecimal) 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Explorer \CabinetState 7. Pinche en la carpeta "CabinetState" y en el panel de la derecha, bajo la columna "Nombre", cambie el valor de "FullPath" a "0" (Hexadecimal) 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Wukill.D. Se propaga por redes y disquetes _____________________________________________________________ http://www.vsantivirus.com/wukill-d.htm Nombre: W32/Wukill.D Tipo: Gusano de Internet Alias: Wukill.D, Win32/Wukill.D, WORM_WUKILL.D, Bloodhound.W32.VBWORM, W32/Wukill.worm, Win32/NewMalware.R, I-Worm.Silly.a Fecha: 30/mar/04 Plataforma: Windows 32-bit Tamaño: 53,248 bytes Este gusano, escrito en Visual Basic 6, requiere la presencia de la librería MSVBVM60.DLL para ejecutarse. De características no destructivas, está diseñado para propagarse a través de redes, disquetes y correo electrónico. En éste último caso, y en algunos casos, puede fallar en su intento. Si lo logra, los mensajes enviados, están escritos en chino. Si el sistema operativo es Windows NT, 2000 o XP, cuando se ejecuta por primera vez despliega una ventana de error falsa, con el siguiente texto: Warning This File Has Been Damage! [ OK ] Si se ejecuta, queda residente en memoria, y examina si su propio ejecutable está en la carpeta de Windows. Si no está allí, crea una copia de si mismo en esa carpeta: c:\windows\mstray.exe El gusano también crea copias de si mismo en la unidad de disquete A, en el disco duro C, y en las unidades mapeadas de red D y E (si existen), usando el siguiente nombre: winfile.exe Luego modifica el registro para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run RavTimerXP = c:\windows\mstray.exe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). También modifica la siguiente clave del registro, para ocultar al usuario todos los archivos con atributos de oculto (+H) y de sistema (+S): HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\Advance Hidden=0 El gusano intenta ocultar los archivos con extensión .EXE, cambiando su icono por el icono asignado a las carpetas. [ver imagen en http://www.vsantivirus.com/wukill-d.htm] * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\mstray.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: RavTimerXP 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Explorer \Advanced 5. Pinche en la carpeta "Advanced" y en el panel de la derecha, bajo la columna "Nombre", cambie el valor de "Hidden" a "1" (Hexadecimal) 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Wukill.C. Se propaga por redes y disquetes _____________________________________________________________ http://www.vsantivirus.com/wukill-c.htm Nombre: W32/Wukill.C Tipo: Gusano de Internet Alias: Wukill.C, Win32/Wukill.C, WORM_WUKILL.C, Bloodhound.W32.VBWORM, W32/Wukill.worm, I-Worm.Silly.a Fecha: 31/ene/04 Plataforma: Windows 32-bit Tamaño: 53,248 bytes Este gusano, escrito en Visual Basic 6, requiere la presencia de la librería MSVBVM60.DLL para ejecutarse. De características no destructivas, está diseñado para propagarse a través de redes, disquetes y correo electrónico. En éste último caso, y en algunos casos, puede fallar en su intento. Si lo logra, los mensajes enviados, están escritos en chino. Si el sistema operativo es Windows NT, 2000 o XP, cuando se ejecuta por primera vez despliega una ventana de error falsa, con el siguiente texto: Warning This File Has Been Damage! [ OK ] Si se ejecuta, queda residente en memoria, y examina si su propio ejecutable está en la carpeta de Windows. Si no está allí, crea una copia de si mismo en esa carpeta: c:\windows\msdostray.com El gusano también crea copias de si mismo en la unidad de disquete A, en el disco duro C, y en las unidades mapeadas de red D y E (si existen), usando cualquiera de los siguientes nombres: document.exe explorer.exe windows.exe Luego modifica el registro para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run KaV3000XP = c:\windows\msdostray.com NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). También modifica la siguiente clave del registro, para ocultar al usuario todos los archivos con atributos de oculto (+H) y de sistema (+S): HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\Advance Hidden=0 El gusano intenta ocultar los archivos con extensión .EXE, cambiando su icono por el icono asignado a las carpetas. [ver imagen en http://www.vsantivirus.com/wukill-c.htm] * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\msdostray.com Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: KaV3000XP 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Explorer \Advanced 5. Pinche en la carpeta "Advanced" y en el panel de la derecha, bajo la columna "Nombre", cambie el valor de "Hidden" a "1" (Hexadecimal) 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - W32/Wukill.B. Datos adjuntos: "MShelp.EXE" _____________________________________________________________ http://www.vsantivirus.com/wukill-b.htm Nombre: W32/Wukill.B Tipo: Gusano de Internet Alias: Wukill.B, W32.Wullik.B@mm, Win32/Wukill.B, Bloodhound.W32.VBWORM, W32/Wukill.worm, WORM_WUKILL.B Tamaño: 49,152 bytes Fecha: 6/nov/03 Plataforma: Windows 32-bit Gusano escrito en Visual Basic, que se envía en forma masiva a través del correo electrónico, a todos los contactos de la libreta de direcciones de Windows. El mensaje contiene textos en chino, mostrados como caracteres extraños en una configuración de Windows en español (o en cualquier otro idioma que no sea chino). Asunto: MS?DOS???? Datos adjuntos: MShelp.EXE Texto del mensaje: (en chino) Donde los caracteres "????" son chinos (o caracteres sin sentido si no se tiene instalado ese idioma). Cuando se ejecuta, se copia a si mismo en ubicaciones y nombres, seleccionados al azar. Mientras el gusano se esté ejecutando en memoria, cualquier intento de visualizarlo en la carpeta en que se esté ejecutando con el Explorador de Windows será inútil, ya que el gusano se copia inmediatamente en otra carpeta, borrándose de la actual. El gusano también crea copias de si mismo en la unidad de disquete A, en el disco duro C, y en las unidades mapeadas de red D y E (si existen), usando el siguiente nombre: winfile.exe Cuando se ejecuta por primera vez, se copia con alguno de los siguientes nombres en la carpeta de Windows: c:\windows\mstray.exe c:\windows\mstray1.exe Si el sistema operativo es Windows NT, 2000 o XP, despliega una ventana de error falsa, con el siguiente texto: Warning This File Has Been Damage! [ OK ] El icono de los archivos es similar al de las carpetas de Windows, en un intento de engañar al usuario. [ver imagen en http://www.vsantivirus.com/wukill-b.htm] NOTA: "c:\windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "c:\windows" en Windows 9x/ME/XP o "c:\winnt" en Windows NT/2000). Una vez en memoria, monitorea permanentemente la ventana activa. Cuando una ventana queda en primer plano, el gusano puede crear nuevas copias de si mismo, dependiendo del contenido de la barra del título de dicha ventana. Si el título de una ventana activa se refiere a la ubicación actual del gusano, el mismo crea una nueva copia de si mismo en otro directorio seleccionado al azar, con un nombre también al azar. Luego ejecuta la nueva copia y finaliza la anterior. La nueva copia del gusano, a su vez borra el archivo en la carpeta anterior. Por ejemplo, si el archivo actual es C:\WINDOWS\MSTRAY.EXE, y usted abre una ventana con el explorador de Windows en la carpeta C:\WINDOWS, el gusano se copia en C:\WINDOWS\TEMP\ con el nombre FGH.EXE. Luego, se ejecuta C:\WINDOWS\SYSTEM32\FGH.EXE y éste borra el archivo anterior: C:\WINDOWS\MSTRAY.EXE. Si la barra del título de la ventana abierta indica una ubicación diferente, entonces el gusano se copia en esa ubicación con el mismo nombre de la carpeta y el atributo de oculto (+H). Por ejemplo, si la ventana del Explorador de Windows indica C:\ARCHIVOS DE PROGRAMA, entonces el gusano se copia como C:\ARCHIVOS DE PROGRAMA\ARCHIVOS DE PROGRAMA.EXE. Este archivo tendrá los atributos de oculto. Esta técnica también le permite copiarse a unidades y recursos compartidos en red, cada vez que se visualiza una carpeta de ésta en una ventana de Windows. Si la barra de título no indica un camino, el gusano puede copiarse de la siguiente forma: ABCwinfile.exe ABCcomment.htt ABCdesktop.ini Donde ABC son los primeros tres caracteres de la barra de título de la ventana. Por ejemplo, si el título de la ventana actual es "Mis documentos", entonces se crean los siguientes archivos: Miswinfile.exe Miscomment.htt Misdesktop.ini El .EXE es el propio gusano. El segundo archivo (.HTT), es una plantilla HTML, que incluye un código JavaScript detectado como "JS.Exception.Exploit". Este archivo es utilizado para ejecutar al primero en sistemas que son vulnerables a ese exploit. También modifica el registro de Windows, agregando las siguientes entradas para autoejecutarse en próximos reinicios: HKLM\Software\Microsoft\Windows\CurrentVersion\Run RavTimeXP = [nombre actual del gusano] RavTimXP = [último nombre usado por el gusano] Note que las entradas en el registro también serán modificadas de acuerdo a la ubicación y nombre actual del gusano. Además, en cada ejecución, puede crear otra copia de sí mismo con un nombre aleatorio en la carpeta de Windows. En esos casos también actualiza la clave del registro con los datos correspondientes. El gusano agrega además las siguientes entradas, la primera para guardar su propia configuración, la segunda para asegurarse de que aparezca el camino completo en la barra del título del explorador de Windows, y la última para que no se muestren las extensiones de los archivos: HKLM\Software\Microsoft\Windows\CurrentVersion\Setup RavTimXP HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\CabinetState FullPath = 1 HKCU\Software\Microsoft\Windows \CurrentVersion\Explorer\Advanced Hidden = 0 HideFileExt = 1 Luego, se envía a todos los contactos de la libreta de direcciones, en un mensaje como el descrito antes. En algunos casos, puede fallar en su intento. * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\mstray.exe c:\windows\mstray1.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes posibles entradas: RavTimeXP RavTimXP 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Setup 5. Pinche en la carpeta "Setup" y en el panel de la derecha busque y borre la siguiente entrada: RavTimXP 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Explorer \Advanced 7. Pinche en la carpeta "Advanced" y en el panel de la derecha, bajo la columna "Nombre", cambie el valor de "Hidden" a "1" y el de "HideFileExt" = "0" (Hexadecimal) 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Explorer \CabinetState 9. Pinche en la carpeta "CabinetState" y en el panel de la derecha, bajo la columna "Nombre", cambie el valor de "FullPath" a "0" (Hexadecimal) 10. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1488 Año 8, lunes 2 de agosto de 2004