Mostrando mensaje 572     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1523 Año 8, martes 7 de setiembre de 2004 Fecha: Martes, 7 de Septiembre, 2004  03:48:50 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1523 Año 8, martes 7 de setiembre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Vulnerabilidad en Kerio Personal Firewall (SDT) 2 - Denegación de servicio con JavaScript en Opera (2) 3 - W32/Nyxem.D. Borra archivos y entradas del registro 4 - W32/Nyxem.C. Borra archivos y entradas del registro _____________________________________________________________ 1 - Vulnerabilidad en Kerio Personal Firewall (SDT) _____________________________________________________________ http://www.vsantivirus.com/vul-kerio-sdt-070904.htm Vulnerabilidad en Kerio Personal Firewall (SDT) Por Angela Ruiz angela@videosoft.net.uy Según reporta Secunia, Tan Chew Keong de SIG^2 (Singapur), ha hecho pública una vulnerabilidad en el cortafuego Kerio Personal Firewall, cuya explotación maliciosa permitiría que ciertos procesos maliciosos puedan saltearse las barreras de protección provistas por el producto. Kerio Personal Firewall es un cortafuegos ampliamente utilizado, que incluye una característica que permite a sus usuarios restringir la ejecución de programas en el sistema. Sin embargo, es posible para un programa malicioso eludir esta restricción, restaurando la tabla descriptora del servicio del kernel, el SDT (Service Descriptor Table), escribiendo directamente en el objeto "\Device\PhysicalMemory". Esto puede permitir que un código malicioso llegue a ejecutarse sin solicitar ninguna autorización, lo que posibilita la ejecución de troyanos u otra clase de programas similares. Sin embargo, para que la vulnerabilidad pueda ser explotada, se debe ejecutar primero un código capaz de modificar la tabla descriptora, para lo que se requieren permisos de administrador. Esta vulnerabilidad ha sido reportada en la versión 4.0.16 y fue probada en Windows 2000 con SP4, Windows XP con SP1 y también con SP2. Versiones anteriores del programa también podrían ser afectadas. No existe una actualización del fabricante al momento actual. Se recomienda no confiar en esta característica de seguridad del Kerio, y no ejecutar programas sospechosos o descargados de sitios no seguros hasta no haberlos examinados con dos o más antivirus actualizados. Este problema solo afecta la característica de protección de ejecución de programas del Kerio Personal Firewall. * Créditos: Tan Chew Keong * Relacionados: Kerio Personal Firewall's Application Launch Protection Can Be Disabled by Direct Service Table Restoration http://www.security.org.sg/vuln/kerio4016.html Kerio Personal Firewall http://www.kerio.com/kpf_home.html Kerio Personal Firewall Program Execution Protection Feature Bypass http://secunia.com/advisories/12468/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Denegación de servicio con JavaScript en Opera (2) _____________________________________________________________ http://www.vsantivirus.com/vul-opera-js-070904.htm Denegación de servicio con JavaScript en Opera (2) Por Angela Ruiz angela@videosoft.net.uy Opera es un navegador disponible para varias plataformas, incluidas Microsoft Windows, Linux, variantes de Unix y Apple MacOS. Cómo se reportó el pasado 25 de agosto (ver "Denegación de servicio con JavaScript en Opera", http://www.vsantivirus.com/vul-opera-javascript-dos.htm), este navegador es susceptible a una vulnerabilidad del tipo denegación de servicio. La misma se produce cuando Opera intenta ejecutar un comando específico de JavaScript. Como consecuencia del fallo, el programa se bloquea, dejando de responder. Aunque la vulnerabilidad se sabe afecta a la versión 7.23, otras versiones también son afectadas. La versión 7.54 en cambio, no es susceptible a este fallo. Se sugiere a los usuarios de este software, actualizarse a dicha versión. No existe ninguna alerta de parte del vendedor al momento actual. * Créditos: Stevo <steve01@chello.at> * Referencias: Denegación de servicio con JavaScript en Opera http://www.vsantivirus.com/vul-opera-javascript-dos.htm Opera DOS http://www.securityfocus.com/archive/1/373854 Opera 7.54 for Windows Changelog http://www.opera.com/windows/changelogs/754/ Opera Web Browser Home Page http://www.opera.com/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Nyxem.D. Borra archivos y entradas del registro _____________________________________________________________ http://www.vsantivirus.com/nyxem-d.htm Nombre: W32/Nyxem.D Nombre Nod32: Win32/Nyxem.D Tipo: Gusano de Internet Alias: Nyxem.D, W32/MyWife.d@MM, W32/Mywife.D.worm, W32.Blackmal.D@mm, WORM_BLUEWORM.D Fecha: 6/set/04 Plataforma: Windows 32-bit Tamaño: 71,288 bytes Segunda variante del Nyxem (también conocido como BlackWorm o MyWife), detectada el 6 de setiembre de 2004. Gusano escrito en Visual Basic y comprimido con la utilidad UPX, que se propaga a través de correo electrónico, redes compartidas y canales de IRC (Internet Relay Chat). Cuando se ejecuta, puede ocasionar el fallo de la computadora, al consumir todo el uso del procesador. Utiliza el Reproductor de Windows Media (Windows Media Player), para ocultar sus intenciones. Además intenta eliminar conocidos antivirus y cortafuegos, entre otras herramientas de seguridad. Puede llegar en mensajes con las siguientes características: Remitente: [falso, puede ser uno de los siguientes] <admin @ newmovies .com> <gustes @ msn .com> <hot_woman2362 @ freevideos .net> <King_sexy @ hotmal .com> <linda200 @ gmail .com> <lost_love705 @ yahoo .com> <sandra @ oxygen .com> <thomas_gay6 @ iopus .com> <user377 @ worldsex .com> Bad Love Binnn MT Lola Ashton Sara GL Sweet Women The Moon Thomas [otras direcciones falsas] Asunto: [uno de los siguientes] For all Hello Please reactive now. Thanks Texto del mensaje: [uno de los siguientes] For all Members repit the reactive one time. has been expired please contact Mr.Bill Gates for the acitve now, Thank you please reactive Please reactive now Thank you Update Datos adjuntos: [uno de los siguientes] connection.exe download.3gpzip.z good music.scr hhm.exe media player.exe movie_05.mp3_________________________.exe movie009.pif nokia_6600zip.z old_password.bat paltlkroom.wav_______________________.scr part_4zip [espacios] .z sound_223.mp3________________________.scr task.exe the_members.pif the_movie_3zip.z video_live.mpg_______________________.exe video_live.zip [espacios] .z winhelp.exe yahoo.pif El nombre de los adjuntos puede agregar además lo siguiente: .DvD_Xp.scr .Xp2002.TGZ .XP2002.Zip.scr _Audio_XP.GZ _DVD_Viedo.Zip.z _Zipped_File.Z También puede adjuntarse una imagen pornográfica con el nombre de LIFE.JPG, que es copiada en Windows\System. Crea el siguiente archivo vacío (cero bytes), en la carpeta de temporales: \TEMP\media.temp.mpeg NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. Luego ejecuta el Reproductor de Windows Media, el cuál falla al no poder abrir el archivo vacío, mostrando un mensaje de formato de archivo no reconocido. La única razón de este procedimiento, es engañar al usuario, quien seguramente se despreocupará luego de esta acción, pensando tal vez que el archivo recibido está corrupto o incompleto. El gusano crea el siguiente archivo DLL, el motor SMTP que utiliza para los envíos: c:\windows\system\ossmtp.dll También crea una carpeta llamada VOLUME dentro de C:\WINDOWS, copiándose en ella con los siguientes nombres: c:\windows\volume\connection.exe c:\windows\volume\hhm.exe c:\windows\volume\media player.exe c:\windows\volume\movie_05.mp3_________________________.exe c:\windows\volume\movie009.pif c:\windows\volume\old_password.bat c:\windows\volume\paltlkroom.wav_______________________.scr c:\windows\volume\sound_223.mp3________________________.scr c:\windows\volume\task.exe c:\windows\volume\the_members.pif c:\windows\volume\video_live.mpg_______________________.exe c:\windows\volume\winhelp.exe c:\windows\volume\yahoo.pif Se copia además con los siguientes nombres de archivos (también pueden ser nombres al azar): c:\windows\system\download.3gpzip.z c:\windows\system\good music.scr c:\windows\system\nokia_6600zip.z c:\windows\system\part_4zip [espacios] .z c:\windows\system\the_movie_3zip.z c:\windows\system\video_live.zip [espacios] .z Algunos de estos archivos son creados con atributos de oculto (+H) y de solo lectura (+R). NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). Mientras se ejecuta, mantiene dos procesos de si mismo siempre activos. Cuando cualquiera de los dos es eliminado, el otro lo reinicia de inmediato. Crea alguna de las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run (Predeterminado) = [archivo] HKCU\Software\Microsoft\Windows\CurrentVersion\Run [archivo] = [archivo] HKCU\Software\Microsoft\Windows\CurrentVersion\Run msnmsgr = msnmsgr.exe HKLM\SOFTWARE\Microsoft\Active Setup Security = [archivo] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (Predeterminado) = [archivo] Donde [archivo] es el nombre de cualquiera de las copias del gusano. Puede borrar los siguientes valores de las claves que se dan a continuación: Claves: HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Valores borrados: _Hazafibb au.exe ccApp defwatch erthgdr Explorer gigabit.exe JavaVM KasperskyAv key McAfeeVirusScanService MCAgentExe McRegWiz MCUpdateExe McVsRte msgsvr32 NAV Agent Norton Antivirus AV NPROTECT OLE PCCClient.exe pccguide.exe PCCIOMON.exe PCClient.exe PccPfw reg_key rtvscn95 ScriptBlocking Sentry Services ssate.exe SSDPSRV system. Task Taskmon tmproxy Traybar VirusScan Online vptray VSOCheckTask wersds.exe win_upd.exe Windows Services Host Windows Update winupd.exe winupdt También intenta borrar archivos de carpetas que contengan las siguientes cadenas en sus nombres, inutilizando los antivirus y otro software de seguridad allí instalados: KasperskyAv McAfee VirusScan Norton Antivirus TrendMicro Internet Security TrendMicro PC-cillin 2002 TrendMicro PC-cillin 2003 El gusano enumera la lista de recursos compartidos que son accesibles, e intenta copiarse en cada uno de ellos con algunos de los nombres de archivos creados antes. Genera además, los siguientes archivos en la carpeta del sistema: c:\windows\system\about.txt c:\windows\system\about_blackworm.c.txt El segundo de esos archivos contiene el siguiente mensaje: my MS gay i got a bill to pay n i wonder wut to say but ll i know is wut i know billy bo! aint got no mo shyt to do from this day GoOd ByE MicroGates Made by MyLife El gusano contiene el siguiente texto oculto en su código: #%MaDe@By@MyLiFe%#: * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\download.3gpzip.z c:\windows\system\good music.scr c:\windows\system\nokia_6600zip.z c:\windows\system\ossmtp.dll c:\windows\system\part_4zip [espacios] .z c:\windows\system\the_movie_3zip.z c:\windows\system\video_live.zip [espacios] .z También borre la carpeta VOLUME y todo su contenido: c:\windows\VOLUME Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: (Predeterminado) = [archivo] [archivo] = [archivo] msnmsgr = [archivo] 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: (Predeterminado) = [archivo] 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Active Setup 7. Pinche en la carpeta "Active Setup" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Security 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Nyxem.C. Borra archivos y entradas del registro _____________________________________________________________ http://www.vsantivirus.com/nyxem-c.htm Nombre: W32/Nyxem.C Nombre Nod32: Win32/Nyxem.C Tipo: Gusano de Internet Alias: Nyxem.C, W32/MyWife.c@MM, W32/Mywife.C.worm, W32.Blackmal.C@mm, WORM_BLUEWORM.C Fecha: 6/set/04 Plataforma: Windows 32-bit Tamaño: 72,874 bytes Variante del Nyxem (también conocido como BlackWorm o MyWife), detectada el 6 de setiembre de 2004. Gusano escrito en Visual Basic y comprimido con la utilidad UPX, que se propaga a través de correo electrónico, redes compartidas y canales de IRC (Internet Relay Chat). Cuando se ejecuta, puede ocasionar el fallo de la computadora, al consumir todo el uso del procesador. Utiliza el Reproductor de Windows Media (Windows Media Player), para ocultar sus intenciones. Además intenta eliminar conocidos antivirus y cortafuegos, entre otras herramientas de seguridad. Puede llegar en mensajes con las siguientes características: Remitente: [falso, puede ser uno de los siguientes] <admin @ newmovies .com> <fack_back06 @ mail .com> <gustes @ msn .com> <hot_woman2362 @ freevideos .net> <King_sexy @ hotmal .com> <linda200 @ gmail .com> <lost_love705 @ yahoo .com> <sandra @ oxygen .com> <thomas_gay6 @ iopus .com> <user377 @ worldsex .com> Bad Love Binnn MT Genius Lola Ashton Ralph Sara GL Sweet Women The Moon Thomas vip [otras direcciones falsas] Asunto: [uno de los siguientes] Sinfonma n: 9 de Beethoven Scherzo Historias nuevas Highway Blues Texto del mensaje: see the attached Datos adjuntos: [uno de los siguientes] historias nuevas highway blues.tgz historias nuevas highway blues.zip sinfonma n: 9 de beethoven scherzo.tgz sinfonma n: 9 de beethoven scherzo.zip También puede adjuntarse una imagen pornográfica con el nombre de VIDEO01.JPG. Crea el siguiente archivo vacío (cero bytes), en la carpeta de temporales: \TEMP\media.temp.mpeg NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. Luego ejecuta el Reproductor de Windows Media, el cuál falla al no poder abrir el archivo vacío, mostrando un mensaje de formato de archivo no reconocido. La única razón de este procedimiento, es engañar al usuario, quien seguramente se despreocupará luego de esta acción, pensando tal vez que el archivo recibido está corrupto o incompleto. El gusano crea dos archivos DLL. Uno de ellos es el motor SMTP que utiliza para los envíos. El otro, es una herramienta utilizada para realizar ataques de denegación de servicio a determinados sitios: c:\windows\system\ossmtp.dll c:\windows\system\oswinsck.dll También crea una carpeta llamada VOLUME dentro de C:\WINDOWS, copiándose en ella con los siguientes nombres: c:\windows\volume\twunk_32.exe c:\windows\volume\winhelp.exe c:\windows\volume\winrep.exe Se copia además con los siguientes nombres de archivos (también pueden ser nombres al azar): c:\windows\task.exe c:\windows\system\about_blackworm.c.txt c:\windows\system\connection.exe c:\windows\system\hhm.exe c:\windows\system\movie_05.mp3_________________________.exe c:\windows\system\movie009.pif c:\windows\system\old_password.bat c:\windows\system\ossmtp.dll c:\windows\system\paltlkroom.wav_______________________.scr c:\windows\system\sound_223.mp3________________________.scr c:\windows\system\st5unstm.exe c:\windows\system\task.exe c:\windows\system\the_members.pif c:\windows\system\video_live.mpg_______________________.exe c:\windows\system\yahoo.pif También crea copias de si mismo comprimido en archivos con formatos ZIP y con los siguientes nombres: 1.zip 2.zip 3.zip 4.zip Algunos de estos archivos son creados con atributos de oculto (+H) y de solo lectura (+R). NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). Mientras se ejecuta, mantiene dos procesos de si mismo siempre activos. Cuando cualquiera de los dos es eliminado, el otro lo reinicia de inmediato. Crea alguna de las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run (Predeterminado) = [archivo] HKCU\Software\Microsoft\Windows\CurrentVersion\Run [archivo] = [archivo] HKCU\Software\Microsoft\Windows\CurrentVersion\Run msnmsgr = msnmsgr.exe HKLM\SOFTWARE\Microsoft\Active Setup Security = [archivo] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (Predeterminado) = [archivo] Donde [archivo] es el nombre de cualquiera de las copias del gusano. Puede borrar los siguientes valores de las claves que se dan a continuación: Claves: HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Valores borrados: _Hazafibb au.exe ccApp defwatch erthgdr Explorer gigabit.exe JavaVM KasperskyAv key McAfeeVirusScanService MCAgentExe McRegWiz MCUpdateExe McVsRte msgsvr32 NAV Agent Norton Antivirus AV NPROTECT OLE PCCClient.exe pccguide.exe PCCIOMON.exe PCClient.exe PccPfw reg_key rtvscn95 ScriptBlocking Sentry Services ssate.exe SSDPSRV system. Task Taskmon tmproxy Traybar VirusScan Online vptray VSOCheckTask wersds.exe win_upd.exe Windows Services Host Windows Update winupd.exe winupdt También intenta borrar archivos de las siguientes carpetas, inutilizando los antivirus y otro software de seguridad allí instalados: \Archivos de programa\HyperTechnologies\Deep Freeze\ \Archivos de programa\McAfee\McAfee VirusScan\Vs \Archivos de programa\McAfee\McAfee VirusScan\Vso \Archivos de programa\NavNT\ \Archivos de programa\Norton AntiVirus\ \Archivos de programa\Trend Micro\Internet Security\ \Archivos de programa\Trend Micro\PC-cillin 2002\ \Archivos de programa\Trend Micro\PC-cillin 2003\ El gusano enumera la lista de recursos compartidos que son accesibles, e intenta copiarse en cada uno de ellos con algunos de los nombres de archivos creados antes. Genera además, los siguientes archivos en la carpeta del sistema: c:\windows\system\about.txt c:\windows\system\about_blackworm.c.txt El segundo de esos archivos contiene el siguiente mensaje: my MS gay i got a bill to pay n i wonder wut to say but ll i know is wut i know billy bo! aint got no mo shyt to do from this day GoOd ByE MicroGates Made by MyLife El gusano contiene el siguiente texto oculto en su código: #%MaDe@By@MyLiFe%#: * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\task.exe c:\windows\system\about_blackworm.c.txt c:\windows\system\connection.exe c:\windows\system\hhm.exe c:\windows\system\movie_05.mp3_________________________.exe c:\windows\system\movie009.pif c:\windows\system\old_password.bat c:\windows\system\ossmtp.dll c:\windows\system\ossmtp.dll c:\windows\system\oswinsck.dll c:\windows\system\paltlkroom.wav_______________________.scr c:\windows\system\sound_223.mp3________________________.scr c:\windows\system\st5unstm.exe c:\windows\system\task.exe c:\windows\system\the_members.pif c:\windows\system\video_live.mpg_______________________.exe c:\windows\system\yahoo.pif También borre la carpeta VOLUME y todo su contenido: c:\windows\VOLUME Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: (Predeterminado) = [archivo] [archivo] = [archivo] msnmsgr = [archivo] 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: (Predeterminado) = [archivo] 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Active Setup 7. Pinche en la carpeta "Active Setup" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Security 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1523 Año 8, martes 7 de setiembre de 2004