| Asunto: | VSantivirus No. 1506 Año 8, viernes 20 de agosto de 2004 | | Fecha: | Viernes, 20 de Agosto, 2004 01:42:26 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1506 Año 8, viernes 20 de agosto de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Grave vulnerabilidad "Drag and Drop" en IE
2 - Nuevo ataque afecta a Windows XP con todos los parches
3 - W32/Atak.C. Se propaga por correo electrónico
4 - W32/Protoride.W. Se copia como MSUPDATE.EXE
5 - W32/Bagle.AI. Se propaga en un ZIP conteniendo un HTML
6 - W32/Bagle.AH2. Se propaga por e-mail y P2P
_____________________________________________________________
1 - Grave vulnerabilidad "Drag and Drop" en IE
_____________________________________________________________
http://www.vsantivirus.com/vul-ie-drag-and-drop.htm
Grave vulnerabilidad "Drag and Drop" en IE
Por Angela Ruiz
angela@videosoft.net.uy
Secunia advierte de una nueva e importante vulnerabilidad en
Microsoft Internet Explorer, la cuál puede ser explotada por
personas maliciosas para comprometer los sistemas de los
usuarios afectados.
La vulnerabilidad es causada por una insuficiente validación
de los eventos de "arrastrar y soltar" (drag and drop),
cuando se utilizan estos para arrastrar un objeto desde la
zona de Internet hacia los recursos locales.
Esto puede ser explotado por sitios maliciosos para descargar
un archivo en la carpeta de inicio del usuario, de modo que
este código se ejecute en el próximo reinicio de Windows.
Ello permitiría la fácil acción de un troyano o cualquier
otra clase de código maligno.
Una prueba de concepto está disponible en Internet, por lo
que su explotación en el mundo real, seguramente no se hará
esperar.
Aunque en el ejemplo, el usuario debe arrastrar una supuesta
imagen para que el archivo se descargue en la carpeta de
inicio, el código podría ser fácilmente modificado para que
toda la interacción necesaria de la posible víctima se
reduzca a un simple clic sobre un enlace.
Esta vulnerabilidad, reportada por "http-equiv", es una
variante de otra anterior reportada por "Liu Die Yu", otro
conocido cazador de fallos.
La vulnerabilidad ha sido confirmada en un sistema totalmente
actualizado y con todos los parches al día, en Microsoft
Internet Explorer 5.01, 5.5 y 6.0, bajo Windows XP SP1 y
también en equipos ejecutando el nuevo SP2.
No hay solución para este problema de parte de Microsoft, y
para estar protegido, se sugiere desactivar Active Scripting,
o configurar el Internet Explorer como se indica en el
siguiente artículo:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
* Créditos: http-equiv
* Relacionados:
Microsoft Internet Explorer Drag and Drop Vulnerability
http://secunia.com/advisories/12321/
[Full-Disclosure] What A Drag II XP SP2
http://lists.netsys.com/pipermail/full-disclosure/2004-August/025471.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Nuevo ataque afecta a Windows XP con todos los parches
_____________________________________________________________
http://www.vsantivirus.com/20-08-04.htm
Nuevo ataque afecta a Windows XP con todos los parches
Por Angela Ruiz
angela@videosoft.net.uy
Se ha identificado en Internet, una nueva versión del ataque
conocido como "Download.Ject", que puede comprometer a
máquinas completamente actualizadas con las últimas
actualizaciones y parches de Windows XP.
La nueva versión del ataque fue reportada el jueves 19 en las
primeras horas de la tarde, y aunque los detalles son aún
pocos, expertos consultados aseguran que su principal
propósito sería instalar una puerta trasera en las
computadoras afectadas.
El ataque puede iniciarse con un correo electrónico o un
inocente mensaje instantáneo de AIM o ICQ, con un texto como
"My personal home page http://XXXXXXX.X-XXXXXX.XXX/."; (mi
página personal, etc.). Una vez que se hace clic en este
enlace, el Internet Explorer abre un sitio web malicioso que
infecta al usuario. También puede producirse por la visita
directa a determinados sitios.
Lo primero que un usuario infectado podría ver, sería la
página de inicio del navegador, modificada para que apunte a
un sitio identificado como TargetSearch, además de numerosas
ventanas que muestran avisos para adultos.
Las páginas maliciosas, se encuentran en diferentes sitios,
aunque todos ellos parecen haberlo hecho de forma deliberada,
ya que la información obtenida con un "whois", es similar en
todos los casos ("whois" es un comando para consultar una
base de datos mundial en la que aparecen los dominios
registrados junto con los datos de sus titulares).
Una vez que un usuario hace clic en el enlace, el servidor
Web procura descargar un troyano backdoor. Thor Larholm,
investigador principal de PivX Solutions LLC de California,
Estados Unidos, dijo que una computadora personal que corre
una versión totalmente al día, con todos los parches y
actualizaciones de Windows XP e Internet Explorer 6, será
afectada por esta nueva versión del Download.Ject, así como
máquinas con versiones más viejas de estos programas.
En cambio las computadoras que poseen el nuevo SP2 (Service
Pack 2) para Windows XP, no son afectadas. Larholm agregó que
todas las vulnerabilidades explotadas en este ataque, son
conocidas desde hace bastante tiempo.
"Otra diferencia es que utiliza mensajes instantáneos para
propagarse. Si usted recibe un mensaje y hace clic en el
enlace incluido, termina infectado. No utiliza ningún fallo
desconocido," dijo. "Pero no es tan automatizado como podría
llegar a serlo. Pienso que todavía puede evolucionar. Esto,
claramente tiene detrás un motivo financiero."
En el pasado mes de junio, los servidores usados para
comprometer las máquinas de los usuarios, fueron víctimas de
ataques dirigidos por individuos o entidades hacia servidores
específicos. El troyano utilizado, afectaba a estos sitios y
añadía un código de Javascript en el pie de sus páginas.
Cuándo se ejecutaba, el Javascript conseguía descargar y
ejecutar otro archivo desde otro servidor, ubicado en Rusia.
Un usuario con software no actualizado que visitara las
páginas servidas por los servidores atacados, terminaba
infectándose por el troyano.
Esta vez, los atacantes han sido capaces de colocar su código
en una variedad bastante importante de servidores,
aparentemente con el conocimiento de sus propietarios.
Algunos de los sitios que sirven el código malicioso, son
sitios dedicados a la pornografía, o que brindan anuncios
publicitarios a otros servidores, dijo Larholm.
La primera versión de Download.Ject fue utilizada para
controlar el tráfico de salida de los equipos infectados, y
capturar contraseñas y otros datos relacionados con bancos en
línea y otros sitios financieros. Lo mismo que parece
intentar la actual, aunque esta vez no es seguro que el grupo
de piratas informáticos de origen ruso, conocido como The
HangUP Team esté involucrado en el tema, como lo estuvo en el
ataque del mes de junio.
Los diferentes fabricantes de antivirus ya han sido
notificados por PivX, y sus últimas actualizaciones
reconocerán este código.
* Relacionados
W32/Scob.A. Infecta servidores IIS 5.0
http://www.vsantivirus.com/scob-a.htm
JS/Scob.A. Descarga archivos al visitar sitios Web
http://www.vsantivirus.com/js-scob-a.htm
Todo sobre SCOB y su ataque a servidores de Internet
http://www.vsantivirus.com/faq-scob.htm
Fallo en SSL puede provocar ataque a servidores Apache
http://www.vsantivirus.com/26-07-04.htm
Parche de Microsoft para ADODB.Stream
http://www.vsantivirus.com/parche-adodbstream.htm
Microsoft culpa a los piratas, sepa como proteger su PC
http://www.vsantivirus.com/ev-29-06-04.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Atak.C. Se propaga por correo electrónico
_____________________________________________________________
http://www.vsantivirus.com/atak-c.htm
Nombre: W32/Atak.C
Tipo: Gusano de Internet
Alias: Atak.C, I-Worm.Atak.c, I-Worm.Atak.C, I-Worm/Atak.C,
W32.Atak.C@mm, W32/Atak.C, W32/Atak.C.worm, W32/Atak.c@MM,
W32/Atak-C, Win32.Atak.C, Win32.Atak.C@mm, Win32.HLLM.Atak.C,
Win32/Atak.C, Win32/Atak.C.Worm, Win32/Atak.C@mm,
Worm.Atak.C, Worm/Atak.C, WORM_ATAK.C
Fecha: 18/ago/04
Plataforma: Windows 32-bit
Tamaño: 140,768 bytes
Este gusano, escrito en Visual C++ 5.0, se propaga por correo
electrónico, a través de mensajes con las siguientes
características:
De: [usuario]
Donde [usuario] puede ser una dirección falsa, o uno de los
siguientes nombres más un dominio al azar, seleccionado de
direcciones obtenidas en la computadora infectada:
account
adam
admin
alex
alice
anna
anthony
antispam
anyone
bill
bob
brian
brovac
bugs
carey
certific
claudia
connie
contact
chang
dave
david
dolly
elvin
feste
fred
freddy
george
hanson
harry
helen
help
humm
jack
james
jane
jerry
jim
jimmy
joe
john
jose
joshua
julie
kevin
lenny
linda
lissy
maria
marie
mary
matt
me
michael
mike
niky
no
nobody
noone
not
nothing
otto
penny
peter
privacy
rating
reject
robert
ronnie
sam
service
site
smith
soft
somebody
someone
stan
stella
stephen
steve
steven
support
tom
undisclose
vivian
vladimir
walter
william
you
your
zidane
Asunto: [uno de los siguientes]
- always smile ;-D
- bad news
- big ears!
- Expected!
- Familiar
- Fwd:
- ginie file!
- got my file!
- gotcha! ;-)
- greet
- happy go lucky
- happy!
- helo
- hi!
- History
- hmmm..
- home sweet home!?
- huh!
- hurry up !!!
- I know you!!
- interesting
- keep plz!
- Keep Up to date
- known issue
- New Website
- plz help us
- Product Update
- rate this!
- Re:
- Report
- Reserved for you
- thank for the idea
- the sender
- Top 10 Hoax!
- varios
- vote me again!
- Warning!
- what the tuut!!
- wrong file!
- you again!
- Your Account
Texto del mensaje: [uno de los siguientes]
- Because of our services are not configured properly.
We have converted your message as an attachment.
Please download the file to read.
- Don't get wrong anymore! Hope the files is right!
- Here it is my response. Please reply back if got an
idea. Hope this is not a wrong file as you told me.
- If you found this email with an attachment please
refer to the email attachment in order to read the
sender email. You have received this email with an
email attachment. Please refer to your email
attachment if you want to read the message.
- Please note that your message has been converted to
an attachment. Please refer to the attachment in
order to read the file.
- So, this is the correct file. Have you read the file
in the attachment?
- Sorry, I'm late yesterday. But please read the file
first! I really need your help!
- Thanks for watching.
- The previous file i have sended to you before are not
correct.
Datos adjuntos: [1]+[2]
Donde [1] es uno de los siguientes nombres:
against
bitdefender
content
exporter
f-secure
finish
gangster
hundred
idea
important
indoor
install
Issue
mcafee
panda
protect
readme
reminder
router
seek
setup
skipper
slam
slipper
something
sophos
symantec
unseen
word_file
Y [2] es una de las siguientes extensiones:
.bat
.com
.exe
.pif
.scr
.zip
La infección se produce solo cuando el usuario ejecuta el
adjunto recibido. En ese caso, se crea el siguiente archivo:
c:\windows\system\svrhost.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows 9x
y ME, como "c:\winnt\system32" en Windows NT y 2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
El gusano también crea copias de si mismo en la carpeta de
inicio del usuario actual, con un nombre al azar y extensión
.EXE o .BAT.
La carpeta de inicio puede ser alguna de las siguientes:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]
\start menu\programs\startup
Crea la siguiente entrada para ejecutarse en cada reinicio
(Windows NT, 2000 y XP):
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
svrhost = c:\windows\system\svrhost.exe
También puede modificar el archivo C:\WINDOWS\WIN.INI para
ejecutarse en cada reinicio (Windows 95, 98 y Me):
[Windows]
load = c:\windows\system\svrhost.exe
Las direcciones de correo a las que se envía, son obtenidas
de aquellos archivos de la máquina infectada, que tengan las
siguientes extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.eml
.html
.jsp
.log
.mbx
.mht
.msg
.nch
.ods
.php
.pl
.sht
.tbb
.uin
.vbs
.wab
.xml
El gusano utiliza su propio motor SMTP para enviarse. Intenta
obtener el servidor SMTP del usuario infectado desde el
registro. En caso contrario, realiza consultas a diversos
servidores DNS.
Para no ejecutarse más de una vez en memoria, crea un mutex
con el siguiente nombre:
MuTexasv01
El gusano no se ejecuta si detecta la presencia de algún
"debugger" como "SoftIce" en el sistema. Un debugger permite
examinar paso a paso la ejecución de un programa para
examinarlo y es utilizado a menudo por los investigadores de
virus.
También borra archivos y entradas del registro relacionadas
con otros gusanos.
* Reparación manual
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados por el
virus.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows
3. Pinche en la carpeta "Windows" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
svrhost
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Modificar WIN.INI
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso
de autoprotección de esta versión de Windows, existe una
copia de respaldo del archivo WIN.INI en la carpeta
C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los
siguientes cambios. Para ello, desde el Explorador de
Windows, abra la carpeta C:\Windows\Recent, y en el panel de
la derecha, seleccione y borre WIN.INI. Este archivo se
regenerará como una copia del archivo que a continuación
modificaremos, al grabar los cambios hechos.
* Usuarios de Windows 95, 98 y Me:
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Si existe alguna referencia a los archivos del en la
línea "run=" bajo la sección [Windows], bórrelo.
Por ejemplo:
[Windows]
load = c:\windows\system\svrhost.exe
Debe quedar como:
[Windows]
load =
3. Grabe los cambios y salga del bloc de notas.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Protoride.W. Se copia como MSUPDATE.EXE
_____________________________________________________________
http://www.vsantivirus.com/protoride-w.htm
Nombre: W32/Protoride.W
Tipo: Gusano y caballo de Troya de acceso remoto
Alias: Protoride.W, BackDoor.IRC.Cirilico, Protoride.I,
W32/Protoride.H, Trojan.Protoride, W32.Protoride.Worm,
W32/Protoride.B.worm, W32/Protoride.worm.dam, W32/Protoride-
D, Win32.Protoride.J, Win32.Worm.Protoride.C,
Win32/Protoride.W, Win32/Protoride.Worm, Worm.Protoride.H,
Worm.Win32.Protoride.F, Worm.Win32.Protoride.k,
Worm/Protoride.K, Worm/Protoride.S, WORM_PROTORIDE.S
Fecha: 18/ago/04
Plataforma: Windows 32-bit
Tamaño: 73,728 bytes (UPX)
Se propaga a través de recursos compartidos en redes,
intentando acceder a ellos utilizando diferentes nombres de
usuario y contraseñas incluidos en su propio código. Posee
capacidad de acceso remoto clandestino por puerta trasera
(backdoor).
Posee su propio cliente IRC (Internet Relay Chat), con el
cuál intenta acceder a un determinado servidor de IRC. Una
vez conectado a él, envía mensajes privados a un usuario
remoto, notificándolo de su presencia, y queda a la espera de
posibles comandos.
Los comandos disponibles están en español, y permiten
acciones como el robo de información confidencial del usuario
infectado, tales como contraseñas, nombres de usuario, etc.
El gusano intenta copiarse en los siguientes directorios, con
el nombre de MSUPDATE.EXE:
\Documents and Settings\All Users\Kynnist-
valikko\Ohjelmat\Kynnistys\
\Documents and Settings\All Users\Men
Inicio\Programas\Inicio\
\Documents and Settings\All Users\Menu
Avvio\Programmi\Esecuzione automatica\
\Documents and Settings\All Users\Menu
Iniciar\Programas\Iniciar\
\Documents and Settings\All Users\Menu
Start\Programma's\Opstarten\
\Documents and Settings\All Users\Menu
Start\Programy\Autostart\
\Documents and Settings\All Users\Menuen
Start\Programmer\Start\
\Documents and Settings\All Users\Start
Menu\Programlar\BASLANGI
\Documents and Settings\All Users\Start
Menu\Programs\StartUp\
\Documents and Settings\All Users\Start-
meny\Programmer\Oppstart\
\Documents and Settings\All Users\Start-
menyn\Program\Autostart\
\Dokumente und Einstellungen\All Users\Startmen
\Programme\Autostart\
\WIN95\Kynnist-valikko\Ohjelmat\Kynnistys\Documents and
Settings\All Users\Menu Dmarrer\Programmes\Dmarrage\
\WIN95\Menú Inicio\Programas\Inicio\
\WIN95\Menu Avvio\Programmi\Esecuzione automatica\
\WIN95\Menu Dmarrer\Programmes\Dmarrage\
\WIN95\Menu Iniciar\Programas\Iniciar\
\WIN95\Menu Start\Programma's\Opstarten\
\WIN95\Menu Start\Programy\Autostart\
\WIN95\Menuen Start\Programmer\Start\
\WIN95\MenuIniciar\Programas\Iniciar\
\WIN95\Start Menu\Programlar\BASLANGI
\WIN95\Start Menu\Programs\StartUp\
\WIN95\Startmen
\WIN95\Start-meny\Programmer\Oppstart\
\WIN95\Start-menyn\Program\Autostart\
\WIN98\Kynnist-valikko\Ohjelmat\Kynnistys\
\WIN98\Menú Inicio\Programas\Inicio\
\WIN98\Menu Avvio\Programmi\Esecuzione automatica\
\WIN98\Menu Dmarrer\Programmes\Dmarrage\
\WIN98\Menu Iniciar\Programas\Iniciar\
\WIN98\Menu Start\Programma's\Opstarten\
\WIN98\Menu Start\Programy\Autostart\
\WIN98\Menuen Start\Programmer\Start\
\WIN98\MenuIniciar\Programas\Iniciar\
\WIN98\Start Menu\Programlar\BASLANGI
\WIN98\Start Menu\Programs\StartUp\
\WIN98\Startmen
\WIN98\Start-meny\Programmer\Oppstart\
\WIN98\Start-menyn\Program\Autostart\
\WINDOWS.000\Menú Inicio\Programas\Inicio\
\WINDOWS.000\Menu Iniciar\Programas\Iniciar\
\WINDOWS.000\Start Menu\Programs\StartUp\
\WINDOWS.000\Startmen
\WINDOWS\Kynnist-valikko\Ohjelmat\Kynnistys\
\WINDOWS\Menú Inicio\Programas\Inicio\
\WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\
\WINDOWS\Menu Dmarrer\Programmes\Dmarrage\
\WINDOWS\Menu Iniciar\Programas\Iniciar\
\WINDOWS\Menu Start\Programma's\Opstarten\
\WINDOWS\Menu Start\Programy\Autostart\
\WINDOWS\Menuen Start\Programmer\Start\
\WINDOWS\MenuIniciar\Programas\Iniciar\
\WINDOWS\Start Menu\Programlar\BASLANGI
\WINDOWS\Start Menu\Programs\StartUp\
\WINDOWS\Startmen
\WINDOWS\Start-meny\Programmer\Oppstart\
\WINDOWS\Start-menyn\Program\Autostart\
\WINME\Kynnist-valikko\Ohjelmat\Kynnistys\
\WINME\Menú Inicio\Programas\Inicio\
\WINME\Menu Avvio\Programmi\Esecuzione automatica\
\WINME\Menu Dmarrer\Programmes\Dmarrage\
\WINME\Menu Iniciar\Programas\Iniciar\
\WINME\Menu Start\Programma's\Opstarten\
\WINME\Menu Start\Programy\Autostart\
\WINME\Menuen Start\Programmer\Start\
\WINME\MenuIniciar\Programas\Iniciar\
\WINME\Start Menu\Programlar\BASLANGI
\WINME\Start Menu\Programs\StartUp\
\WINME\Startmen
\WINME\Start-meny\Programmer\Oppstart\
\WINME\Start-menyn\Program\Autostart\
También modifica la siguiente entrada en el registro para
ejecutarse cada vez que se accede a un archivo .EXE:
HKCR\exefile\shell\open\command
(Predeterminado) = [camino y nombre del gusano] "%1" %*
El gusano se propaga por redes locales, copiándose en todos
los recursos compartidos con permisos de escritura
disponibles. Si existen contraseñas, intenta con varios
nombres de usuario y claves predeterminadas, disponibles en
su código.
Utiliza su propio cliente IRC para conectarse a uno de los
siguientes servidores donde crea un canal especial o una sala
de chat:
naipe.damaged.com.ar
naipe.no-ip.org
Luego envía un mensaje privado a un usuario determinado.
Cualquier usuario que tenga acceso al canal creado, puede
ingresar a los equipos infectados, pudiendo realizar
cualquiera de las siguientes acciones:
- Descargar y enviar archivos
- Enumerar cuentas de acceso telefónico
- Examinar direcciones IP
- Finalizar la ejecución del propio troyano
- Listar las conexiones TCP actuales
- Listar los procesos en ejecución
- Obtener información del sistema infectado
- Ocultar o mostrar ventanas de programas
- Realizar ataques de denegación de servicio (DoS)
- Realizar ataques flood con paquetes UDP
- Robar contraseñas
La información robada incluye lo siguiente:
- Cantidad de memoria instalada
- Contraseñas del sistema y de redes (usa API indocumentado)
- Datos de las cuentas de conexión telefónica
- Idioma del sistema operativo
- Lista de actuales sesiones de red
- Lista de procesos en ejecución
- Tipo y velocidad del procesador
- Versión instalada del sistema operativo
Puede realizar ataques de denegación de servicio (DoS) a
determinados servidores de IRC.
* Reparación manual
Estos pasos deben ser repetidos en cada computadora conectada
a la misma red local de la maquina infectada.
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red
antes de proceder a su limpieza.
* Antivirus (preparación)
1. Actualice sus antivirus con las últimas definiciones
2. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
4. Borre los archivos detectados como infectados por el
virus.
* Renombre REGEDIT.EXE como REGEDIT.COM
Debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya
que la extensión .EXE está asociada al gusano, y éste se
volvería a cargar si ejecutamos REGEDIT en forma normal.
1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar
cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
En Windows 2000 y XP, cambie COMMAND por CMD.
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta
referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.).
2. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
3. En el panel izquierdo del editor de registro de Windows,
pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command
4. Pinche sobre la carpeta "command". En el panel de la
derecha debería ver algo como:
(Predeterminado) = [nombre del gusano] "%1" %*
5. Pinche sobre "(Predeterminado)" y en Información del
valor, debe borrar el nombre del gusano y dejar solo lo
siguiente (comillas, porcentaje, uno, comillas, espacio,
porcentaje, asterisco):
(Predeterminado) = "%1" %*
6. Cierre el editor del registro.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar los archivos creados por el gusano.
* En Windows 95/98/Me/NT/2000
1. Seleccione Inicio, Buscar, Archivos o carpetas
2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de
tener seleccionada la opción "Incluir subcarpetas"
3. En "Nombre" ingrese (o corte y pegue), lo siguiente:
MSUPDATE.EXE
4. Haga clic en "Buscar ahora" y borre todos los archivos
encontrados
5. Cierre la ventana de búsqueda
6. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* En Windows XP
1. Seleccione Inicio, Buscar
2. Seleccione "Todos los archivos y carpetas"
3. En "Todo o parte del nombre de archivo" ingrese (o corte y
pegue), lo siguiente:
MSUPDATE.EXE
4. Verifique que en "Buscar en:" esté seleccionado "C:"
5. Pinche en "Más opciones avanzadas"
6. Seleccione "Buscar en carpetas del sistema"
7. Seleccione "Buscar en subcarpetas"
8. Haga clic en "Búsqueda" y borre todos los archivos
encontrados
9. Cierre la ventana de búsqueda
10. Pinche con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Bagle.AI. Se propaga en un ZIP conteniendo un HTML
_____________________________________________________________
http://www.vsantivirus.com/bagle-ai.htm
Nombre: W32/Bagle.AI
Tipo: Gusano de Internet
Alias: Bagle.AI@mm, Bagle.AL, Beagle.AL, HTML_BAGLE.AC,
I-Worm.Bagle.al, I-Worm.Bagle.AO, TROJ_BAGLE.AC,
Trojan.DL.Bagle.AN, W32.Beagle.AO@mm, W32/Bagle.AJ@mm,
W32/Bagle.AM.worm, W32/Bagle.aq@MM, W32/Bagle.dll.dr,
W32/Bagle-AQ, Win32.Bagle.AG, Win32.Bagle.AL@mm,
Win32.HLLM.Beagle.25088, Win32/Bagle.AG.Worm, Win32/Bagle.AI,
Win32/Bagle.AQ@mm, Win32/WDirect.DLL.Worm,
Win32/WDirect.Trojan, Win32:BeagleCraw [Drp], Worm.Beagle.Ao,
WORM_BAGLE.AC
Relacionados: Win32/IE.DWord (Exploit), JS/IllWill,
W32/Bagle.dll.gen
Fecha: 09/ago/04
Plataforma: Windows 32-bit
Tamaño: 14,848 bytes (PeX)
Puertos: TCP/80
Se trata de un gusano de envío masivo que utiliza como
adjunto un archivo .ZIP conteniendo un archivo HTML y una
carpeta que contiene un .EXE.
[ver imagen http://www.vsantivirus.com/bagle-ai.htm]
Puede enviarse a todas las direcciones de correo obtenidas de
diferentes archivos de la máquina infectada. En todos los
casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera
(backdoor), y además finaliza la ejecución de varios
antivirus y cortafuegos.
Los mensajes que utiliza para su propagación tienen las
siguientes características:
De: [una dirección falsa]
Asunto: [vacío]
Texto del mensaje:
new price
Si el archivo adjunto contiene contraseña, el texto del
mensaje agrega uno de los siguientes textos:
The password is [contraseña]
Password: [contraseña]
Datos adjuntos: [uno de los siguientes]
08_price.zip
new__price.zip
new_price.zip
newprice.zip
price.zip
price_08.zip
price_new.zip
price2.zip
El archivo adjunto contiene un .HTML y un .EXE, éste último
dentro de una carpeta llamada "price":
price.html
\price\price.exe
Si el archivo .ZIP es abierto con Windows Explorer, en las
últimas versiones de Windows se muestra el archivo HTML y la
carpeta PRICE, como se muestra en la imagen.
Si el usuario hace doble clic en el archivo HTML, se ejecuta
el EXE de la mencionada carpeta, y el usuario se infecta.
Este archivo HTML es detectado por algunos antivirus como
Win32/IE.DWord (Exploit) o JS/IllWill.
Cuando se ejecuta el archivo PRICE/PRICE.EXE, se activa el
gusano, copiándose en la siguiente ubicación:
c:\windows\system32\windirect.exe
También libera el siguiente archivo .DLL:
c:\windows\system32\_dll.exe
El DLL es inyectado en el proceso del EXPLORER.EXE, de modo
que se oculta de la lista de procesos, simulando sus acciones
como parte de éste último (EXPLORER.EXE es uno de los
procesos básicos de Windows).
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
El gusano agrega las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
win_upd2.exe = c:\windows\system32\windirect.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
win_upd2.exe = c:\windows\system32\windirect.exe
El gusano intenta acceder a los siguientes sitios de
Internet, para descargar un falso archivo .JPG (se trata de
un .EXE renombrado). Algunas de estas direcciones no son
válidas, en un intento del gusano de ocultar su origen:
http:/ / polobeer .de/ 2 .jpg
http:/ / r2626r .de/ 2 .jpg
http:/ / kooltokyo .ru/ 2 .jpg
http:/ / mmag .ru/ 2 .jpg
http:/ / advm1 .gm .fh-koeln .de/ 2 .jpg
http:/ / evadia .ru/ 2 .jpg
http:/ / megion .ru/ 2 .jpg
http:/ / molinero-berlin .de/ 2 .jpg
http:/ / dozenten .f1 .fhtw-berlin .de/ 2 .jpg
http:/ / shadkhan .ru/ 2 .jpg
http:/ / sacred .ru/ 2 .jpg
http:/ / kypexin .ru/ 2 .jpg
http:/ / www .gantke-net .com/ 2 .jpg
http:/ / www .mcschnaeppchen .com/ 2 .jpg
http:/ / www .rollenspielzirkel .de/ 2 .jpg
http:/ / 134 .102 .228 .45/ 2 .jpg
http:/ / 196 .12 .49 .27/ 2 .jpg
http:/ / aus-Zeit .com/ 2 .jpg
http:/ / lottery .h11 .ru/ 2 .jpg
http:/ / herzog .cs .uni-magdeburg .de/ 2 .jpg
http:/ / yaguark .h10 .ru/ 2 .jpg
http:/ / 213 .188 .129 .72/ 2 .jpg
http:/ / thorpedo .us/ 2 .jpg
http:/ / szm .sk/ 2 .jpg
http:/ / lars-s .privat .t-online .de/ 2 .jpg
http:/ / www .no-abi2003 .de/ 2 .jpg
http:/ / www .mdmedia .org/ 2 .jpg
http:/ / abi-2004 .org/ 2 .jpg
http:/ / sovea .de/ 2 .jpg
http:/ / www .porta .de/ 2 .jpg
http:/ / matzlinger .com/ 2 .jpg
http:/ / pocono .ru/ 2 .jpg
http:/ / controltechniques .ru/ 2 .jpg
http:/ / alexey .pioneers .com .ru/ 2 .jpg
http:/ / momentum .ru/ 2 .jpg
http:/ / omegat .ru/ 2 .jpg
http:/ / www .perfectgirls .net/ 2 .jpg
http:/ / porno-mania .net/ 2 .jpg
http:/ / colleen .ai .net/ 2 .jpg
http:/ / ourcj .com/ 2 .jpg
http:/ / free .bestialityhost .com/ 2 .jpg
http:/ / slavarik .ru/ 2 .jpg
http:/ / burn2k .ipupdater .com/ 2 .jpg
http:/ / carabi .ru/ 2 .jpg
http:/ / spbbook .ru/ 2 .jpg
http:/ / binn .ru/ 2 .jpg
http:/ / sbuilder .ru/ 2 .jpg
http:/ / protek .ru/ 2 .jpg
http:/ / www .PlayGround .ru/ 2 .jpg
http:/ / celine .artics .ru/ 2 .jpg
http:/ / www .artics .ru/ 2 .jpg
http:/ / www .laserbuild .ru/ 2 .jpg
http:/ / www .lamatec .com/ 2 .jpg
http:/ / www .sensi .com/ 2 .jpg
http:/ / www .oldtownradio .com/ 2 .jpg
http:/ / www .youbuynow .com/ 2 .jpg
http:/ / 64 .62 .172 .118/ 2 .jpg
http:/ / www .tayles .com/ 2 .jpg
http:/ / dodgetheatre .com/ 2 .jpg
http:/ / www .thepositivesideofsports .com/ 2 .jpg
http:/ / www .bridesinrussia .com/ 2 .jpg
http:/ / fairy .dataforce .net/ 2 .jpg
http:/ / www .pakwerk .ru/ 2 .jpg
http:/ / home .profootball .ru/ 2 .jpg
http:/ / www .ankil .ru/ 2 .jpg
http:/ / www .ddosers .net/ 2 .jpg
http:/ / tarkosale .net/ 2 .jpg
http:/ / www .boglen .com/ 2 .jpg
http:/ / change .east .ru/ 2 .jpg
http:/ / www .teatr-estrada .ru/ 2 .jpg
http:/ / www .glass-master .ru/ 2 .jpg
http:/ / www .zeiss .ru/ 2 .jpg
http:/ / www .sposob .ru/ 2 .jpg
http:/ / www .glavriba .ru/ 2 .jpg
http:/ / alfinternational .ru/ 2 .jpg
http:/ / euroviolence .com/ 2 .jpg
http:/ / www .webronet .com/ 2 .jpg
http:/ / www .virtmemb .com/ 2 .jpg
http:/ / www .infognt .com/ 2 .jpg
http:/ / www .vivamedia .ru/ 2 .jpg
http:/ / www .zelnet .ru/ 2 .jpg
http:/ / www .dsmedia .ru/ 2 .jpg
http:/ / www .vendex .ru/ 2 .jpg
http:/ / www .elit-line .ru/ 2 .jpg
http:/ / pixel .co .il/ 2 .jpg
http:/ / www .milm .ru/ 2 .jpg
http:/ / dev .tikls .net/ 2 .jpg
http:/ / www .met .pl/ 2 .jpg
http:/ / www .strefa .pl/ 2 .jpg
http:/ / kafka .punkt .pl/ 2 .jpg
http:/ / www .rubikon .pl/ 2 .jpg
http:/ / www .neostrada .pl/ 2 .jpg
http:/ / werel1 .web-gratis .net/ 2 .jpg
http:/ / www .tuhart .net/ 2 .jpg
http:/ / www .antykoncepcja .net/ 2 .jpg
http:/ / www .dami .com .pl/ 2 .jpg
http:/ / vip .pnet .pl/ 2 .jpg
http:/ / www .webzdarma .cz/ 2 .jpg
http:/ / emnesty .w .interia .pl/ 2 .jpg
http:/ / niebo .net/ 2 .jpg
http:/ / strony .wp .pl/ 2 .jpg
http:/ / sec .polbox .pl/ 2 .jpg
http:/ / www .phg .pl/ 2 .jpg
http:/ / emnezz .e-mania .pl/ 2 .jpg
http:/ / www .republika .pl/ 2 .jpg
http:/ / www .silesianet .pl/ 2 .jpg
http:/ / www .republika .pl/ 2 .jpg
http:/ / tdi-router .opola .pl/ 2 .jpg
http:/ / republika .pl/ 2 .jpg
http:/ / infokom .pl/ 2 .jpg
http:/ / silesianet .pl/ 2 .jpg
http:/ / terramail .pl/ 2 .jpg
http:/ / silesianet .pl/ 2 .jpg
http:/ / www .iluminati .kicks-ass .net/ 2 .jpg
http:/ / www .dilver .ru/ 2 .jpg
http:/ / www .yarcity .ru/ 2 .jpg
http:/ / www .scli .ru/ 2 .jpg
http:/ / www .elemental .ru/ 2 .jpg
http:/ / diablo .homelinux .com/ 2 .jpg
http:/ / www .interrybflot .ru/ 2 .jpg
http:/ / www .webpark .pl/ 2 .jpg
http:/ / www .rafani .cz/ 2 .jpg
http:/ / gutemine .wu-wien .ac .at/ 2 .jpg
http:/ / przeglad-tygodnik .pl/ 2 .jpg
http:/ / przeglad-tygodnik .pl/ 2 .jpg
http:/ / pb195 .slupsk .sdi .tpnet .pl/ 2 .jpg
http:/ / www .ciachoo .pl/ 2 .jpg
http:/ / cavalierland .5u .com/ 2 .jpg
http:/ / www .nefkom .net/ 2 .jpg
http:/ / rausis .latnet .lv/ 2 .jpg
http:/ / www .hgr .de/ 2 .jpg
http:/ / www .airnav .com/ 2 .jpg
http:/ / www .astoria-stuttgart .de/ 2 .jpg
http:/ / ultimate-best-hgh .0my .net/ 2 .jpg
http:/ / wynnsjammer .proboards18 .com/ 2 .jpg
http:/ / www .jewishgen .org/ 2 .jpg
http:/ / www .hack-gegen-rechts .com/ 2 .jpg
http:/ / host .wallstreetcity .com/ 2 .jpg
http:/ / quotes .barchart .com/ 2 .jpg
http:/ / www .aannemers-nederland .nl/ 2 .jpg
http:/ / www .sjgreatdeals .com/ 2 .jpg
http:/ / financial .washingtonpost .com/ 2 .jpg
http:/ / www .biratnagarmun .org .np/ 2 .jpg
http:/ / hsr .zhp .org .pl/ 2 .jpg
http:/ / traveldeals .sidestep .com/ 2 .jpg
http:/ / www .hbz-nrw .de/ 2 .jpg
http:/ / www .ifa-guide .co .uk/ 2 .jpg
http:/ / www .inversorlatino .com/ 2 .jpg
http:/ / www .zhp .gdynia .pl/ 2 .jpg
http:/ / host .businessweek .com/ 2 .jpg
http:/ / packages .debian .or .jp/ 2 .jpg
http:/ / www .math .kobe-u .ac .jp/ 2 .jpg
http:/ / www .k2kapital .com/ 2 .jpg
http:/ / www .tanzen-in-sh .de/ 2 .jpg
http:/ / www .wapf .com/ 2 .jpg
http:/ / www .hgrstrailer .com/ 2 .jpg
http:/ / www .forbes .com/ 2 .jpg
http:/ / www .oshweb .com/ 2 .jpg
http:/ / www .rumbgeo .ru/ 2 .jpg
http:/ / www .dicto .ru/ 2 .jpg
http:/ / www .busheron .ru/ 2 .jpg
http:/ / www .omnicom .ru/ 2 .jpg
http:/ / www .teleline .ru/ 2 .jpg
http:/ / www .dynex .ru/ 2 .jpg
http:/ / www .gamma .vyborg .ru/ 2 .jpg
http:/ / nominal .kaliningrad .ru/ 2 .jpg
http:/ / www .baltmatours .com/ 2 .jpg
http:/ / www .interfoodtd .ru/ 2 .jpg
http:/ / www .baltnet .ru/ 2 .jpg
http:/ / www .neprifan .ru/ 2 .jpg
http:/ / photo .gornet .ru/ 2 .jpg
http:/ / www .aktor .ru/ 2 .jpg
http:/ / catalog .zelnet .ru/ 2 .jpg
http:/ / www .sdsauto .ru/ 2 .jpg
http:/ / www .gradinter .ru/ 2 .jpg
http:/ / www .avant .ru/ 2 .jpg
http:/ / www .porsa .ru/ 2 .jpg
http:/ / www .taom-clan .de/ 2 .jpg
http:/ / www .perfectjewel .com/ 2 .jpg
http:/ / www .vrack .net/ 2 .jpg
http:/ / www .netradar .com/ 2 .jpg
http:/ / www .pgipearls .com/ 2 .jpg
http:/ / www .vconsole .net/ 2 .jpg
http:/ / www .ccbootcamp .com/ 2 .jpg
http:/ / host23 .ipowerweb .com/ 2 .jpg
http:/ / www .timelessimages .com/ 2 .jpg
http:/ / www .peterstar .ru/ 2 .jpg
http:/ / www .5100 .ru/ 2 .jpg
http:/ / www .gin .ru/ 2 .jpg
http:/ / www .rweb .ru/ 2 .jpg
http:/ / www .metacenter .ru/ 2 .jpg
http:/ / www .biysk .ru/ 2 .jpg
http:/ / www .free-time .ru/ 2 .jpg
http:/ / www .rastt .ru/ 2 .jpg
http:/ / www .chelny .ru/ 2 .jpg
http:/ / www .chat4adult .com/ 2 .jpg
http:/ / www .landofcash .net/ 2 .jpg
http:/ / relay .great .ru/ 2 .jpg
http:/ / www .kefaloniaresorts .com/ 2 .jpg
http:/ / www .epski .gr/ 2 .jpg
http:/ / www .myrtoscorp .com/ 2 .jpg
http:/ / www .aphel .de/ 2 .jpg
http:/ / www .intellect .lvc/ 2 .jpg
http:/ / www .abcdesign .ru/ 2 .jpg
Copia el archivo 2.JPG como ~.EXE en la carpeta de Windows, y
lo ejecuta:
c:\windows\~.exe
Esta descarga se reitera cada 10 horas, por lo que podría
llegar a descargarse otro archivo, con diferentes propiedades
y acciones.
Una vez que el archivo es descargado y ejecutado, el virus se
copia a si mismo en la siguiente ubicación:
c:\windows\system32\windll.exe
También crea los siguientes archivos:
c:\windows\system32\windll.exeopen
c:\windows\system32\windll.exeopenopen
Y agrega las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
erthgdr = c:\windows\system32\windll.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Ru1n
Crea un mutex para no ejecutarse más de una vez al mismo
tiempo, y otros para impedir la ejecución del gusano Netsky.
El gusano abre el puerto TCP/80 y un puerto UDP al azar, para
notificar su presencia a un usuario remoto, quedando a la
espera de comandos.
Luego se propaga por correo electrónico, en mensajes como los
ya descriptos.
Las direcciones que utiliza para propagarse, son obtenidas de
archivos de la máquina infectada con las siguientes
extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Ignora direcciones de correo que contengan las siguientes
cadenas:
@avp.
@derewrdgrs
@eerswqe
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
El gusano también se copia en todas las carpetas cuyo nombre
contenga la cadena "SHAR", lo que incluye a la mayoría de las
carpetas compartidas de programas de intercambio de archivos
entre usuarios. De ese modo puede propagarse por las redes
P2P, y para ello utiliza los siguientes nombres:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Mientras se está ejecutando, intenta finalizar los siguientes
procesos:
atupdater.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avpupd.exe
avwupd32.exe
avxquar.exe
avxquar.exe
cfiaudit.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
icssuppnt.exe
icsupp95.exe
luall.exe
mcupdate.exe
nupgrade.exe
nupgrade.exe
outpost.exe
sys_xp.exe
sysxp.exe
update.exe
winxp.exe
También intenta borrar las entradas en el registro creadas
por versiones de otros gusanos, como Netsky.
* Herramienta de limpieza automática:
Descargue y ejecute esta herramienta en su computadora, para
una limpieza automática de la misma. Siga las instrucciones
en pantalla.
Descarga:
http://www.vsantivirus.com/bagle-al.htm
NOTA: Este gusano es identificado como Bagle.AI por Nod32
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos (no todos ellos pueden estar presentes):
c:\windows\system32\_dll.exe
c:\windows\system32\windirect.exe
c:\windows\system32\windll.exe
c:\windows\system32\windll.exeopen
c:\windows\system32\windll.exeopenopen
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
3. Pinche en la carpeta "CurrentVersion" y borre la siguiente
entrada:
Ru1n
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las siguientes
entradas:
erthgdr
win_upd2.exe
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
win_upd2.exe
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
* Actualizaciones:
19/08/04 - 12:03 -0300 (Renombrado Bagle.AL a Bagle.AI)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
6 - W32/Bagle.AH2. Se propaga por e-mail y P2P
_____________________________________________________________
http://www.vsantivirus.com/bagle-ah2.htm
Nombre: W32/Bagle.AH2
Tipo: Gusano de Internet
Alias: Bagle.AH2, Beagle.AH2, Bagle.AG@mm, I-Worm.Bagle.ac,
I-Worm.Bagle.AI, I-Worm/Bagle.AG, W32.Beagle.AH@mm,
W32/Bagle.AH@mm, W32/Bagle.ah@MM, W32/Bagle.AI.worm,
Win32.Bagle.AD, Win32.Bagle.AH@mm, Win32/Bagle.AD.Worm,
Win32/Bagle.AH@mm, Worm/Bagle.AG
Fecha: 23/jul/04
Plataforma: Windows 32-bit
Tamaño: 16 Kb (agrega basura para aumentar su tamaño)
Puertos: TCP/1234
Variante del Bagle (gusano escrito en Visual C), detectado el
23 de julio de 2004.
Los adjuntos poseen extensiones .COM, .CPL, .EXE, .HTA, .SCR,
.VBS, o .ZIP, en éste último caso con contraseñas generadas
al azar, la cuál se muestra al usuario en una imagen también
adjunta. Esto pretende eludir la detección de los antivirus.
Además de propagarse a través del correo electrónico, lo hace
por redes P2P, copiándose en carpetas utilizadas por varios
de esos programas para compartir archivos con otros usuarios
(KaZaa, Bearshare, Limewire, etc.)
Puede enviarse a todas las direcciones de correo obtenidas de
diferentes archivos de la máquina infectada. En todos los
casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera
(backdoor), y además finaliza la ejecución de varios
antivirus y cortafuegos.
Cuando se ejecuta por primera vez, muestra un mensaje de
error falso:
Error!
Can't find a viewer associated with the file
[ Aceptar ]
El gusano no se ejecuta después del 25 de enero de 2005. Si
es ejecutado después de esa fecha, se auto invoca con el
parámetro -DEL para desinstalarse del sistema.
Los mensajes que utiliza para su propagación tienen las
siguientes características:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
- Changes..
- Encrypted document
- Fax Message
- Forum notify
- Incoming message
- Notification
- Protected message
- Re: Document
- Re: Hello
- Re: Hi
- Re: Incoming Message
- RE: Incoming Msg
- RE: Message Notify
- Re: Msg reply
- RE: Protected message
- RE: Text message
- Re: Thank you!
- Re: Thanks :)
- Re: Yahoo!
- Site changes
- Update
Texto del mensaje: [uno de los siguientes]
- Attach tells everything.
- Attached file tells everything.
- Check attached file for details.
- Check attached file.
- Here is the file.
- Message is in attach
- More info is in attach
- Pay attention at the attach.
- Please, have a look at the attached file.
- Please, read the document.
- Read the attach.
- See attach.
- See the attached file for details.
- Your document is attached.
- Your file is attached.
Datos adjuntos: [uno de los siguientes]
Details
Document
Info
Information
Message
MoreInfo
Readme
text_document
Updates
Dicho nombre, puede tener alguna de las siguientes
extensiones:
.com
.cpl
.exe
.hta
.scr
.vbs
.zip [con contraseña]
Si el adjunto es un ZIP, está encriptado con una contraseña.
En esos casos, el asunto del mensaje puede ser uno de los
siguientes:
- Pass - [contraseña]
- Password - [contraseña]
- Password: [contraseña]
Y el texto de los mensajes puede ser alguno de los
siguientes:
- Archive password: [contraseña]
- Attached file is protected with the password for
security reasons. Password is [contraseña]
- For security purposes the attached file is password
protected. Password -- [contraseña]
- For security reasons attached file is password
protected. The password is [contraseña]
- In order to read the attach you have to use the
following password: [contraseña]
- Note: Use password [contraseña]
- Password [contraseña]
- Password: [contraseña]
Donde [contraseña] es una imagen JPEG insertada, o un texto
que muestra un número de cinco dígitos.
El gusano cambia el tipo de archivo del adjunto, de acuerdo a
la extensión. Por ejemplo, si el archivo tiene extensión
.VBS, el adjunto es creado como un script de Visual Basic que
genera al gusano, un archivo ejecutable de Win32. Por ello,
existen tres formatos para el "dropper" del gusano, Visual
Basic Script, HTML, y aplicación del Panel de control
(.CPL).
En el caso de un adjunto .ZIP, el archivo contenido dentro
del mismo, posee un nombre generado al azar de 5 a 9
caracteres con extensión .EXE. También contiene un segundo
archivo conteniendo solo basura, con nombre al azar y alguna
de las siguientes extensiones:
.cfg
.def
.dll
.ini
.txt
.vxd
Cuando se ejecuta, crea los siguiente archivos en la carpeta
System de Windows:
c:\windows\system\fukulamer.exe
c:\windows\system\fukulamer.exeopen
c:\windows\system\fukulamer.exeopenopen
c:\windows\system\fukulamer.exeopenopenopen
c:\windows\system\fukulamer.exeopenopenopenopen
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows 9x
y ME, como "c:\winnt\system32" en Windows NT y 2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
Crea la siguiente entrada en el registro, para autoejecutarse
en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
reg_key = c:\windows\system\fukulamer.exe
Crea también la siguiente entrada para almacenar valores de
su configuración actual:
HKCU\Software\base_reg_path
Las direcciones que utiliza para propagarse, son obtenidas de
archivos de la máquina infectada con las siguientes
extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
El gusano también se copia en todas las carpetas cuyo nombre
contenga la cadena "SHAR", lo que incluye a la mayoría de las
carpetas compartidas de programas de intercambio de archivos
entre usuarios. De ese modo puede propagarse por las redes
P2P, y para ello utiliza los siguientes nombres:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0
KAV 5.0
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Posee algunas características de troyano de acceso remoto y
para ello abre el puerto TCP/1234, quedando a la espera de
comandos. Esta opción puede ser usada para actualizar al
propio gusano. Cuando ello sucede, se descarga la nueva
versión que luego se ejecuta para suplantar la anterior.
También intenta borrar las entradas en el registro creadas
por versiones de otros gusanos, como Netsky.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos (no todos ellos pueden estar presentes):
c:\windows\system\fukulamer.exe
c:\windows\system\fukulamer.exeopen
c:\windows\system\fukulamer.exeopenopen
c:\windows\system\fukulamer.exeopenopenopen
c:\windows\system\fukulamer.exeopenopenopenopen
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
reg_key
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\base_reg_path
5. Pinche en la carpeta "base_reg_path" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
* Actualizaciones:
19/08/04 - 00:31 -0300 (Renombrado Bagle.AJ a Bagle.AI)
19/08/04 - 11:43 -0300 (Renombrado Bagle.AI a Bagle.AH2)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1506 Año 8, viernes 20 de agosto de 2004
|
VSantivirus No. 15
Responder a este mensaje
