Mostrando mensaje 553     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1504 Año 8, miércoles 18 de agosto de 2004 Fecha: Miercoles, 18 de Agosto, 2004  02:27:01 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1504 Año 8, miércoles 18 de agosto de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Otra falsificación de certificados SSL en Mozilla 2 - Opera, detección remota de directorio o archivo local 3 - W32/Neveg.C. Se propaga masivamente por e-mail y P2P 4 - W32/Neveg.B. Se propaga masivamente por e-mail y P2P 5 - W32/Neveg.A. Se propaga masivamente por e-mail y P2P _____________________________________________________________ 1 - Otra falsificación de certificados SSL en Mozilla _____________________________________________________________ http://www.vsantivirus.com/vul-certificados2-mozilla.htm Otra falsificación de certificados SSL en Mozilla Por Angela Ruiz angela@videosoft.net.uy Se ha reportado que Mozilla es vulnerable a la falsificación de certificados SSL, en la función "cert_TestHostName()". SSL (Secure Socket Layer), es un protocolo que utiliza criptografía para cifrar los datos que se intercambian con un servidor seguro. Proporciona privacidad para datos y mensajes, y permite autenticar los datos enviados. Básicamente se utiliza para transmitir información personal o relacionada con tarjetas de crédito de los usuarios a través de Internet. Las direcciones de páginas Web que utilizan conexiones SSL, comienzan con 'https:' en lugar del estándar 'http:'. El problema con Mozilla, se debe a un error de diseño, que hace que el programa falle en validar correctamente los nombres de servidores seguros certificados. Mozilla está integrado por Mozilla Thunderbird (componente de correo y noticias) y Mozilla Firefox (navegador de Internet). La vulnerabilidad puede permitir a un pirata falsificar el certificado válido del sitio de un tercero, facilitando de este modo, la realización de ataques del tipo phishing, para que un usuario confiado ingrese sus datos en un sitio que él supone seguro. PHISHING es toda técnica utilizada para obtener información confidencial mediante la suplantación de una persona o institución legítima (generalmente por medio de un "scam", mensaje electrónico fraudulento, o falsificación de página web). No se requiere un exploit para aprovecharse de este fallo. Son vulnerables los siguientes productos: - Avaya Network Routing - MandrakeSoft Linux Mandrake 9.2, 10.0 - Mozilla Browser 1.0 a 1.7.1 inclusive - Mozilla Firefox 0.8 a 0.9.2 inclusive - Mozilla Thunderbird 0.6 a 0.7.2 inclusive - SGI Advanced Linux Environment 3.0 En el caso de las versiones para Linux, distintos fabricantes han publicado avisos de advertencia, en la mayoría de los casos con las soluciones respectivas. Se recomienda seguir las indicaciones de las diferentes distribuciones. A los usuarios de Windows y Mac OS X, se sugiere instalar las versiones Mozilla Browser 1.7.2, Mozilla Firefox 0.9.3 o Mozilla Thunderbird 0.7.3 (o superiores). * Relacionados: Mozilla Upgrade Thunderbird 0.7.3 http://www.mozilla.org/products/thunderbird/ Mozilla Upgrade Firefox 0.9.3 http://www.mozilla.org/products/firefox/ Mozilla Upgrade Mozilla 1.7.2 http://www.mozilla.org/products/mozilla1.x/ * Referencias: (SGI) 20040802-01-U: SGI Advanced Linux Environment 3 Security Update #9 http://www.securityfocus.com/advisories/7070 (Mandrake) MDKSA-2004:082: Updated mozilla packages fix multiple vulnerabilities http://www.securityfocus.com/advisories/7068 (Slackware) SSA:2004-223-01: Mozilla http://www.securityfocus.com/advisories/7059 (Mozilla) Bugzilla Bug 234058 Certificate name matching for non-FQDNs is insecure http://bugzilla.mozilla.org/show_bug.cgi?id=234058 (Mozilla) Mozilla Firefox Home Page http://www.mozilla.org/products/firefox/ (Mozilla) Mozilla Homepage http://www.mozilla.org/ (RedHat) RHSA-2004:421-17 Updated mozilla packages fix security issues http://rhn.redhat.com/errata/RHSA-2004-421.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Opera, detección remota de directorio o archivo local _____________________________________________________________ http://www.vsantivirus.com/vul-opera-deteccion-file.htm Opera, detección remota de directorio o archivo local Por Angela Ruiz angela@videosoft.net.uy GreyMagic Software de Israel, publicó los detalles de un problema detectado durante la investigación de una prueba de concepto, relacionada con un exploit para una vulnerabilidad en el navegador Opera reportada recientemente (ver "Opera puede permitir ataques cross-site scripting", http://www.vsantivirus.com/vul-opera-location.htm). Para demostrar dicha vulnerabilidad, se necesitaba encontrar una manera de identificar el directorio raíz del sistema de la víctima, a los efectos de localizar un recurso específico. Después de un poco de investigación, se encontró que se podía determinar fácilmente si un directorio o un archivo, existía o no. Cuándo un archivo o carpeta inexistentes son asignados a un IFRAME (una etiqueta que abre una ventana del navegador dentro de otra), un error es mostrado al usuario y la actual ubicación del IFRAME no cambia. Esta situación puede ser detectada fácilmente por un atacante que utilice un IFRAME accesible (dentro del mismo dominio). Cambiando su URL para que apunte a la ubicación de un archivo o directorio, y verificando luego si se produce un error al tratar de acceder a ese dominio, el atacante puede determinar si el recurso existe. Un URL (Uniform Resources Locator o Localizador Uniforme de Recursos), es simplemente un "apuntador" a la ubicación de cualquier archivo, como por ejemplo una página HTML. Cómo ejemplo, GreyMagic publica en su sitio, el código para determinar si la carpeta "c:/winnt" existe. Un intruso, podría realizar estas acciones con un grupo de directorios hasta encontrar el correcto, o determinar si un programa específico se ha instalado. Sobre este tema, es válida la misma prueba de concepto realizada para el anterior aviso sobre Opera (disponible en "Opera puede permitir ataques cross-site scripting", http://www.vsantivirus.com/vul-opera-location.htm). La solución es actualizarse a la versión 7.54 de Opera. Uno de los cambios que introduce esta versión, debería bloquear completamente el acceso al protocolo "file:/ /" a URLs que no sean locales, haciendo imposible la explotación de esta vulnerabilidad. El fallo fue confirmado en Opera 7.52 y 7.53 (para Windows, Linux y Mac), aunque podría producirse también en versiones anteriores. * Descarga Opera 7.54: http://www.opera.com/download/ * Relacionados: GreyMagic Security Advisory GM#009-OP 17 Aug 2004. Topic: Opera Local File/Directory Detection. http://www.greymagic.com/security/advisories/gm009-op/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Neveg.C. Se propaga masivamente por e-mail y P2P _____________________________________________________________ http://www.vsantivirus.com/neveg-c.htm Nombre: W32/Neveg.C Tipo: Gusano de Internet Alias: Neveg.C, W32.Neveg.C@mm, W32/Nevag.c@MM, WORM_NEVEG.C, W32/Nevag.C, W32/Neveg.C.worm, I-Worm/Neveg.C Fecha: 17/ago/04 Plataforma: Windows 32-bit Tamaño: 52,294 bytes Gusano de envío masivo por correo electrónico y redes P2P, reportado el 17 de agosto de 2004. Compilado con Microsoft Visual C++, su código está protegido contra posibles desbordamientos de búfer. Su ejecutable, está comprimido con las herramientas Yoda y UPX. Utiliza mensajes con estas características: Datos adjuntos: [uno de los siguientes] details.exe doom3demo.exe files.exe google.exe info.exe install.exe notes.exe office.exe request.exe result.exe results.exe resume.exe se_files.exe setup.exe test.exe El archivo muestra el icono característico de Adobe Acrobat. Cuando se ejecuta, crea un mutex para no cargarse más de una vez en memoria: 4D36E64A-W325-121E-BFC1-080C2BE11318 Se copia a si mismo en la siguiente ubicación: c:\windows\system\services.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). En este caso, la carpeta "system" no varía, sin importar el sistema operativo instalado. Crea una clave en el registro para autoejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [clave] = c:\windows\system\services.exe Donde [clave] puede ser una de las siguientes: .Prog BuildLab ccApps FriendlyTypeName Microsoft Visual SourceSafe RegDone TEXTCONV WMAudio Busca direcciones para enviar sus mensajes infectados, en todos los archivos de cada máquina infectada, pero ignora aquellos con las siguientes extensiones: .avi .bmp .cab .com .chm .dll .drv .exe .fon .gif .hlp .hlp .jar .jpg .mpg .msi .rar .swf .sys .ttf .vxd .wma .zip También ignora direcciones conteniendo los siguientes textos: .gov .mil @mcaf freebsd gnu. kaspers microso norton openbsd symant Las direcciones son almacenadas en el siguiente archivo: c:\windows\system\Setup32ea.bak Para copiarse en las carpetas de conocidos programas de intercambio de archivos entre usuarios (P2P), el gusano busca todas aquellas que contengan las siguientes cadenas en sus nombres: bear donkey download ftp htdocs http icq kazaa morpheuslime mule my shared folder shar shared files upload Y se copia en cada una de las carpetas encontradas con los siguientes nombres: ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0.exe KAV 5.0.exe Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe El gusano puede realizar ataques de denegación de servicio a los siguientes sitios Web: www .2rebrand .com www .designgalaxy .net www .designload www .designload .com www .hvr-systems .cc www .procartoonz .com www .real-creative .de * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\services.exe c:\windows\system\Setup32ea.bak NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). En este caso, la carpeta "system" no varía, sin importar el sistema operativo instalado. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: [clave] = c:\windows\system\services.exe Donde [clave] puede ser una de las siguientes: .Prog BuildLab ccApps FriendlyTypeName Microsoft Visual SourceSafe RegDone TEXTCONV WMAudio 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Neveg.B. Se propaga masivamente por e-mail y P2P _____________________________________________________________ http://www.vsantivirus.com/neveg-b.htm Nombre: W32/Neveg.B Tipo: Gusano de Internet Alias: Neveg.B, Doyi, Cali, W32/Doyi.A, W32/Neveg.B, W32.Neveg.B@mm, W32/Neveg.b@MM, Win32/Doyi.A, Cali.A, W32/Cali-A, W32/Cali@MM, I-Worm.Neveg.b Fecha: 10/ago/04 Plataforma: Windows 32-bit Tamaño: 51,270 bytes Este gusano de envío masivo por correo electrónico y redes P2P, fue reportado el 10 de agosto de 2004, en principio con el nombre de Doyi.A (Nod32). El 17 de agosto otros fabricantes lo identificaron como Neveg.B, y por ello esta actualización de su descripción. Compilado con Microsoft Visual C++, su código está protegido contra posibles desbordamientos de búfer. Su ejecutable, está comprimido con las herramientas Yoda y UPX. Utiliza mensajes con estas características: Datos adjuntos: [uno de los siguientes] details.exe doom3demo.exe files.exe google.exe info.exe install.exe notes.exe office.exe request.exe result.exe results.exe resume.exe se_files.exe setup.exe test.exe El archivo muestra el icono característico de Adobe Acrobat. Cuando se ejecuta, crea un mutex para no cargarse más de una vez en memoria: 4D36E64A-W325-121E-BFC1-080C2BE11318 Se copia a si mismo en la siguiente ubicación: c:\windows\system\services.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). En este caso, la carpeta "system" no varía, sin importar el sistema operativo instalado. Crea una clave en el registro para autoejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [clave] = c:\windows\system\services.exe Donde [clave] puede ser una de las siguientes: .Prog BuildLab ccApps FriendlyTypeName Microsoft Visual SourceSafe RegDone TEXTCONV WMAudio Busca direcciones para enviar sus mensajes infectados, en todos los archivos de cada máquina infectada, pero ignora aquellos con las siguientes extensiones: .avi .bmp .cab .com .chm .dll .drv .exe .fon .gif .hlp .hlp .jar .jpg .mpg .msi .rar .swf .sys .ttf .vxd .wma .zip También ignora direcciones conteniendo los siguientes textos: .gov .mil @mcaf freebsd gnu. kaspers microso norton openbsd symant Las direcciones son almacenadas en el siguiente archivo: c:\windows\system\Setup32ea.bak Para copiarse en las carpetas de conocidos programas de intercambio de archivos entre usuarios (P2P), el gusano busca todas aquellas que contengan las siguientes cadenas en sus nombres: bear donkey download ftp htdocs http icq kazaa morpheuslime mule my shared folder shar shared files upload Y se copia en cada una de las carpetas encontradas con los siguientes nombres: ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0.exe KAV 5.0.exe Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe El gusano puede realizar ataques de denegación de servicio a los siguientes sitios Web: www .2rebrand .com www .designgalaxy .net www .designload www .designload .com www .hvr-systems .cc www .procartoonz .com www .real-creative .de * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\services.exe c:\windows\system\Setup32ea.bak NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). En este caso, la carpeta "system" no varía, sin importar el sistema operativo instalado. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: [clave] = c:\windows\system\services.exe Donde [clave] puede ser una de las siguientes: .Prog BuildLab ccApps FriendlyTypeName Microsoft Visual SourceSafe RegDone TEXTCONV WMAudio 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Actualizaciones: 18/08/04 - 01:34 -0300 (Renombrado de Doyi.A a Neveg.B) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Neveg.A. Se propaga masivamente por e-mail y P2P _____________________________________________________________ http://www.vsantivirus.com/neveg-a.htm Nombre: W32/Neveg.A Tipo: Gusano de Internet Alias: Neveg.A, I-Worm.Neveg.a, I-Worm.Neveg.A, I- Worm/Neveg.A, W32.Neveg.A@mm, W32/Neveg.A.worm, W32/Neveg.a@MM, Win32.Neveg.A, Win32.Worm.Neveg.A, Worm/Neveg.A Fecha: 17/ago/04 Plataforma: Windows 32-bit Tamaño: 40,518 bytes Gusano de envío masivo por correo electrónico y redes P2P, reportado el 17 de agosto de 2004. Compilado con Microsoft Visual C++, su código está protegido contra posibles desbordamientos de búfer. Su ejecutable, está comprimido con las herramientas Yoda y UPX. Utiliza mensajes con estas características: Datos adjuntos: [uno de los siguientes] details.exe doom3demo.exe files.exe google.exe info.exe install.exe notes.exe office.exe request.exe result.exe results.exe resume.exe se_files.exe setup.exe test.exe Cuando se ejecuta, crea un mutex para no cargarse más de una vez en memoria: 4D36E64A-W325-121E-BFC1-080C2BE11318 Se copia a si mismo en la siguiente ubicación: c:\windows\system\winlogon.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). En este caso, la carpeta "system" no varía, sin importar el sistema operativo instalado. Crea una clave en el registro para autoejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [clave] = c:\windows\system\winlogon.exe Donde [clave] puede ser una de las siguientes: .Prog BuildLab ccApps FriendlyTypeName Microsoft Visual SourceSafe RegDone TEXTCONV WMAudio Busca direcciones para enviar sus mensajes infectados, en todos los archivos de cada máquina infectada, pero ignora aquellos con las siguientes extensiones: .avi .bmp .cab .com .chm .dll .drv .exe .fon .gif .hlp .hlp .jar .jpg .mpg .msi .rar .swf .sys .ttf .vxd .wma .zip También ignora direcciones conteniendo los siguientes textos: .gov .mil @mcaf freebsd gnu. kaspers microso norton openbsd symant Las direcciones son almacenadas en el siguiente archivo: c:\windows\system\setup32ea.bak Para copiarse en las carpetas de conocidos programas de intercambio de archivos entre usuarios (P2P), el gusano busca todas aquellas que contengan las siguientes cadenas en sus nombres: bear donkey download ftp htdocs http icq kazaa morpheuslime mule my shared folder shar shared files upload Y se copia en cada una de las carpetas encontradas con los siguientes nombres: ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0.exe KAV 5.0.exe Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe El gusano puede realizar ataques de denegación de servicio a los siguientes sitios Web: www .2rebrand .com www .designgalaxy .net www .designload www .designload .com www .hvr-systems .cc www .procartoonz .com www .real-creative .de * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\winlogon.exe c:\windows\system\setup32ea.bak NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). En este caso, la carpeta "system" no varía, sin importar el sistema operativo instalado. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: [clave] = c:\windows\system\winlogon.exe Donde [clave] puede ser una de las siguientes: .Prog BuildLab ccApps FriendlyTypeName Microsoft Visual SourceSafe RegDone TEXTCONV WMAudio 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1504 Año 8, miércoles 18 de agosto de 2004