Mostrando mensaje 574     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1525 Año 8, jueves 9 de setiembre de 2004 Fecha: Jueves, 9 de Septiembre, 2004  03:52:10 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1525 Año 8, jueves 9 de setiembre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Posible ejecución de código en módulo MSN de Trillian 2 - W32/Zusha. Deshabilita cortafuegos de Windows XP 3 - Hoax: Yahoo! se ríe de los Cristianos 4 - W32/Nyxem.E. Borra archivos y entradas del registro 5 - W32/Gaobot.NNQ. Se copia como "nvsysvc32.exe" _____________________________________________________________ 1 - Posible ejecución de código en módulo MSN de Trillian _____________________________________________________________ http://www.vsantivirus.com/vul-trillian-090904.htm Posible ejecución de código en módulo MSN de Trillian Por Angela Ruiz angela@videosoft.net.uy Trillian es un popular programa que unifica en una sola aplicación, el acceso a diferentes sistemas de mensajería instantánea, como MSN Messenger, ICQ, Yahoo! Messenger, AOL Instant Messenger, e IRC. Recientemente ha sido hecha pública una vulnerabilidad en el módulo MSN de este programa, la cuál causa un desbordamiento de búfer. El fallo puede ser explotado en forma remota, si se envía un texto con una extensión de 4,096 bytes finalizado con un caracter de nueva línea. Aunque este tipo de ataque puede producir la ejecución de un código aleatorio, para ser explotado exitosamente, se debe utilizar la técnica denominada "hombre del medio" o intermediario, ya que se debe interceptar un mensaje enviado desde un servidor de MSN Messenger. Ha sido publicada en Internet, una prueba de concepto (POC), que demuestra como explotar esta vulnerabilidad, por lo que la misma podría ser aplicada por usuarios maliciosos. El problema afecta la versión Trillian Basic 0.74i, y no hay ninguna solución del fabricante al momento actual. * Créditos: Komrade <giocasati@interfree.it> * Más información: Trillian Buffer Overflow MSN Module Lets Remote Users Execute Arbitrary Code in Certain Cases http://www.securitytracker.com/alerts/2004/Sep/1011186.html Trillian http://www.trillian.cc/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Zusha. Deshabilita cortafuegos de Windows XP _____________________________________________________________ http://www.vsantivirus.com/zusha.htm Nombre: W32/Zusha Tipo: Gusano de Internet Variantes: Zusha.A, Zusha.B Alias: Zusha, Trojan.Win32.Small.aq, Worm.Win32.Zusha.a, Worm.Win32.Zusha.b, TrojanDownloader.Win32.Agent.co Fecha: 8/set/04 Plataforma: Windows 32-bit Tamaño: 1,536 bytes Se trata de un gusano de redes, capaz de propagarse utilizando un exploit que se aprovecha de la vulnerabilidad en el componente LSASS, corregida por Microsoft en abril de 2004 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm). Luego de ejecutarse, el gusano descarga y ejecuta archivos adicionales de Internet. Estos archivos son a su vez troyano del tipo "downloaders", o sea códigos que descargan otros programas. Los archivos descargados, pueden eliminar los procesos de diversas aplicaciones de seguridad, incluyendo cortafuegos. También pueden modificar la configuración del cortafuegos de Windows XP, de tal modo que otros programas descargados por el gusano (troyanos), puedan comunicarse de y hacia Internet sin el conocimiento del usuario infectado. Finalmente, se libera y ejecuta un componente de acceso remoto por puerta trasera (backdoor), en todos los sistemas infectados, con la posibilidad de comunicarse entre ellos. Esta descripción será ampliada, pero por el momento, se han detectado los siguientes componentes: El gusano crea en el sistema un archivo con el siguiente nombre: explorer32.exe Crea en el registro una clave con el siguiente nombre: Win32 Explorer También crea y ejecuta el archivo MSPXS32.DLL como un objeto BHO del Internet Explorer. Un objeto BHO (Browser Helper Object), es un DLL que se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos predeterminados. * Reparación manual IMPORTANTE: Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04- 011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente: MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm * Métodos para detener el reinicio de Windows La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad en el componente LSASS). Para evitarlo, siga cualquiera de estos métodos: 1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche). 2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter): shutdown -a * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP * En Windows XP SP2 1. Abra el Panel de Control, haga doble clic en el icono "Centro de Seguridad" 2. Active el cortafuego de Windows (si este se encuentra desactivado). 3. Cierra la ventana del cortafuego, cierre el Centro de Seguridad, por ultimo cierre el panel de control. * En Windows 2000 o Windows XP SP1 1. Haga clic en el botón Inicio, Ejecutar e ingrese lo siguiente: services.msc 2. Presione el botón Aceptar. * En Windows 2000 en la columna nombre localice el servicio "Internet Connection Sharing (ICS)" y haga doble clic en el. * En Windows XP en la columna nombre localice el servicio "Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" y haga doble clic en el. 3. En la opción "Tipo de inicio" seleccione en el menú desplegable "Automático". 4. Bajo la opción "Estado del servicio" presione el botón "Iniciar". 5. Haga clic en el botón "Aceptar". 6. Reinicie el equipo. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Hoax: Yahoo! se ríe de los Cristianos _____________________________________________________________ http://www.vsantivirus.com/hoax-yahoo-cristianos.htm Hoax: Yahoo! se ríe de los Cristianos Nombre: El Presidente de Yahoo Se Ríe de Los Cristianos Tipo: SPAM, Falsas acusaciones Alias: Iglesia de Satanás (Church of Satan) Fecha: set/2004 Idioma: Español Origen: Desconocido En la última semana de agosto y primeras de setiembre de 2004, se ha estado propagando por correo electrónico, un mensaje en donde se acusa a Yahoo! de ser "satánico", y se insta a los usuarios que usan sus cuentas electrónicas a cancelarlas. Todo ello por ser su supuesto presidente, miembro de la Iglesia de Satán. El mensaje alude a cierta intervención de dicha persona, en un programa de televisión norteamericano, en donde la misma declara pertenecer a esa secta, entre otras afirmaciones que apuntan a querer convencer que el éxito de Yahoo! se debe a un pacto con el demonio. Dejando de lado que la redacción del mensaje y sus afirmaciones, lo clasifican con poco esfuerzo de nuestra parte, en todo un bulo, existe una curiosa historia detrás de esto, que a su vez sirve para confirmar la falsedad de que alguien perteneciente a Yahoo! haya hecho alguna vez semejantes comentarios. El mensaje actual alude a un tal Durk I. Jager como el culpable de los dichos, y le da el cargo de presidente y CEO de la famosa compañía de Internet. Sin embargo, en 1999, se divulgó en Estados Unidos y otros países, una historia muy similar. Procter & Gamble es una compañía multinacional, elaboradora de conocidos productos que incluyen todo lo relacionado con el hogar, tejidos, belleza, salud, cuidado del bebé, protección femenina, alimentos y bebidas. Por más de 20 años, también se han divulgado rumores de una asociación de esta compañía con la Iglesia de Satán (Church of Satan). Todo empezó alguna vez, como un mito relacionado al verdadero significado de su marca registrada, un hombre en la luna rodeado de 13 estrellas. Esta marca raramente es usada hoy día, pero en el pasado, fue identificada por muchos como un desprecio hacia la cristiandad. En julio de 1999, comenzó a circular en inglés un mensaje exactamente igual al ahora relacionado con Yahoo!. Tan igual que el nombre del presidente de la empresa Procter & Gamble que hizo esas declaraciones en el mismo programa de entrevistas, se llamaba (también), Durk Jager (vea los artículos relacionados al final de esta descripción). Quienes inventaron este nuevo hoax, tuvieron tan poca inventiva, que copiaron literalmente ese antiguo mensaje, y pusieron ahora a Durk Jager como presidente de Yahoo!, diciendo los mismos disparates, en el mismo programa, pero esta vez trabajando para otra empresa. Posiblemente la intención sea esta vez, desprestigiar a la compañía, y a otra relacionada con aquella en algunos países (Avantel). Este es el texto que ha estado circulando estos días. Por supuesto, si llega a su buzón, solo bórrelo y no ayude a que estas falsas leyendas urbanas se sigan propagando. --- Comienzo del hoax (copia literal, incluidos errores) --- HOLA [IMAGE] El Presidente de Yahoo Se Ríe de Los Cristianos. El presidente Durk I. Jager, Chmn./Pres./CEO de YAHOO apareció en el Show de Sally Jessy Raphaël el 1º de Marzo de 2003, donde declaró que debido a la apertura de nuestra sociedad, él se descubría referente a su asociación con la Iglesia de Satanás, confirmando que gran parte de las utilidades que genera YAHOO, específicamente YAHOO-NET, y su asociación con AVANTEL, son destinados para apoyar la iglesia de Satanás ya que la empresa solo fue creada con el propósito de generar recursos para esta causa. Cuando Sally Jessy Raphaël le pregunto si asegurar esto en la televisión, no dañaría su negocio, él respondió: "NO HAY SUFICIENTES CRISTIANOS PARA QUE LO LOGREN, ADEMÁS ESE MERCADO NO ES IMPORTANTE YA QUE SI POR ALGO SE DISTINGUEN LOS CRISTIANOS ES POR SU IGNORANCIA Y NO HAY MUCHOS USUARIOS DE INTERNET ENTRE LOS CREYENTES" Si no estás seguro de que un producto es de un patrocinador de YAHOO o de su socio AVANTEL, a partir del 1º de Enero del 2004 busca el cuerno que los identificará. El cuerno formara el 666 que es conocido como el número Satánico. Debemos recordar que cuando contratemos cualquiera de sus servicios o adquiramos cualquier producto que se anuncie en YAHOO estaremos contribuyendo con la iglesia de Satanás... Informa a otros sobre estos hechos y paremos de consumir productos que se anuncien en las páginas de YAHOO así como la contratación de sus servicios. Demostrémosle a YAHOO y AVANTEL que sí hay suficientes cristianos que hacemos diferencia. De hecho en un programa previo del Show de Jenny, el dueño de YAHOO dijo: "Si Satanás me prospera, le daría mi corazón y mi alma." En el siguiente programa le dio el crédito a Satanás por su prosperidad. DIOS TE BENDIGA, FREDY SORTO. IGLESIA CRISTIANA WESLEYANA PENTECOSTAL ICWESPE - PERU ---- Final del hoax ---- Si recibe mensajes como estos, simplemente bórrelos. Jamás reenvíe aquellos mensajes en donde se le pida hacerlo, aún cuando lo que proclaman parezca ser cierto. Continuar cualquier cadena de mensajes es muy fácil, y totalmente inútil. Solo genera correo basura, más publicidad no deseada, casillas de correo saturadas, y perdidas de dinero por más tiempo de conexión. Pero sobre todo hace poco creíble lo que el propio mensaje asegura. Cuando tenga dudas, consulte con las personas o instituciones involucradas. O en sitios como el nuestro, especializados en el tema, donde siempre podrá encontrar información debidamente investigada y comprobada. * Regla de tres simple para NO enviar correo basura Cuando esté a punto de enviar un mensaje, hágase estas tres preguntas: 1. ¿Escribió alguien más este mensaje? 2. ¿Está enviándolo a una lista larga de personas? 3. ¿Es un chiste, advertencia de cualquier clase que le llegó por correo, llamada de atención, poesía?. ¡Si la respuesta es SI a cualquiera de ellas, NO lo envíe! * Más hoaxes Puede encontrar una lista de las falsas alarmas más comunes, en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm, o puede consultarnos a nuestra dirección e-mail: videosoft@videosoft.net.uy cuando reciba uno de estos mensajes. Otros sitios en español donde siempre podrá encontrar información debidamente investigada y comprobada: http://www.virusattack.com.ar http://www.rompecadenas.com.ar http://www.alertaantivirus.es http://www.enciclopediavirus.com * En inglés: http://kumite.com/myths/myths/ http://antivirus.about.com/compute/antivirus/library/blenhoax.htm http://www.f-secure.com/hoaxes/hoax_new.shtml http://www.symantec.com/avcenter/hoax.html http://www.antivirus.com/vinfo/hoaxes/hoax.asp http://vil.nai.com/VIL/hoaxes.asp * Relacionados con este hoax: [Nota: los enlaces aparecen truncados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] The Devil's Consumer Advocate http://www.ulrc.com.au/html/report.asp?CaseFile=ULRR0036&Page =1&View=Request&Collection=Satanism Procter and Gamble and the Devil? http://home.att.net/~paulkorn/CSJ4folder/PandG.htm Internet Hoaxes: Public Regulation and Private Remedies http://leda.law.harvard.edu/leda/data/255/Daly,_Karen.html Nuevo hoax en la red: Acusan a Yahoo! de satánicos y piden que los usuarios cancelen sus cuentas http://www.noticiasdot.com/publicaciones/2004/0904/0209/notic ias020904/noticias020904-9.htm * Agradecimientos: A Silvia Takano de Lima, Perú, por enviarnos una muestra de este hoax. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Nyxem.E. Borra archivos y entradas del registro _____________________________________________________________ http://www.vsantivirus.com/nyxem-e.htm Nombre: W32/Nyxem.E Tipo: Gusano de Internet Alias: Nyxem.E, W32/MyWife.e@MM, W32/Mywife.E.worm, W32.Blackmal.E@mm, WORM_BLUEWORM.F, W32/MyWife.E-mm Fecha: 9/set/04 Plataforma: Windows 32-bit Tamaño: 72,874 bytes Nueva variante del Nyxem (también conocido como BlackWorm o MyWife), detectada el 9 de setiembre de 2004. Gusano escrito en Visual Basic y comprimido con la utilidad UPX, que se propaga a través de correo electrónico, redes compartidas y canales de IRC (Internet Relay Chat). Cuando se ejecuta, puede ocasionar el fallo de la computadora, al consumir todo el uso del procesador. Utiliza el Reproductor de Windows Media (Windows Media Player), para ocultar sus intenciones. Además intenta eliminar conocidos antivirus y cortafuegos, entre otras herramientas de seguridad. Puede llegar en mensajes con las siguientes características: Remitente: [falso, puede ser uno de los siguientes] <admin @ newmovies .com> <gustes @ msn .com> <hot_woman2362 @ freevideos .net> <King_sexy @ hotmal .com> <linda200 @ gmail .com> <lost_love705 @ yahoo .com> <sandra @ oxygen .com> <thomas_gay6 @ iopus .com> <user377 @ worldsex .com> Bad Love Binnn MT Lola Ashton Sara GL Sweet Women The Moon Thomas [otras direcciones falsas] Asunto: [uno de los siguientes] - Please Read - Hello - Important Texto del mensaje: [uno de los siguientes] Please reactive now. Thanks Please reactive now Thank you reactive now For all Members repit the reactive one time. Datos adjuntos: [uno de los siguientes] connection.exe download.3gpzip.z good music.scr hhm.exe media player.exe movie_05.mp3_________________________.exe movie009.pif nokia_6600zip.z old_password.bat paltlkroom.wav_______________________.scr part_4zip [espacios] .z sound_223.mp3________________________.scr task.exe the_members.pif the_movie_3zip.z video_live.mpg_______________________.exe video_live.zip [espacios] .z winhelp.exe yahoo.pif El nombre de los adjuntos puede agregar además lo siguiente: .DvD_Xp.scr .Xp2002.TGZ .XP2002.Zip.scr _Audio_XP.GZ _DVD_Viedo.Zip.z _Zipped_File.Z El gusano ejecuta el Reproductor de Windows Media, invocando alguno de los siguientes nombres: mplayer.exe mplayer2.exe wmplayer.exe También crea los siguientes archivos con atributos de sistema, ocultos y solo lectura: c:\archivos de programa\internet explorer\media player.exe c:\windows\system32\connection.exe c:\windows\system32\notepadm.exe c:\windows\task.exe c:\windows\volume\taskman.exe Si no existe, también genera una carpeta llamada VOLUME dentro de C:\WINDOWS. Crea otros archivos dentro de la carpeta del sistema, con extensiones .BAT, .PIF, .EXE o .SCR. Algunos de los nombres de estos archivos agregan múltiples caracteres "_" antes de la extensión. Ejemplos: movie_05.MP3_____________.exe movie009.pif Old_Password.baT PaltlkRoom.wav_____________.scr sound_223.mp3_____________.scr The_Members.PIF Video_live.mpg_____________.exe yahoo.PIF Copia en el sistema el siguiente archivo DLL, que es el motor SMTP que utiliza para los envíos: c:\windows\system\ossmtp.dll NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). Mientras se ejecuta, mantiene dos procesos de si mismo siempre activos. Cuando cualquiera de los dos es eliminado, el otro lo reinicia de inmediato. Crea alguna de las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run (Predeterminado) = [archivo] HKCU\Software\Microsoft\Windows\CurrentVersion\Run [archivo] = [archivo] HKLM\SOFTWARE\Microsoft\Active Setup Security = [archivo] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (Predeterminado) = [archivo] Donde [archivo] es el nombre de cualquiera de las copias del gusano. Puede borrar los siguientes valores de las claves que se dan a continuación: Claves: HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Valores borrados: au.exe ccApp defwatch Explorer gigabit.exe KasperskyAv McAfeeVirusScanService MCAgentExe McRegWiz MCUpdateExe McVsRte msgsvr32 NAV Agent Norton Antivirus AV NPROTECT PCCClient.exe pccguide.exe PCCIOMON.exe PCClient.exe PccPfw rtvscn95 ScriptBlocking Sentry ssate.exe SSDPSRV sysinfo.exe system. Taskmon tmproxy VirusScan Online VSOCheckTask Windows Services Host Winsock2 driver winupd.exe También intenta borrar archivos de carpetas que contengan las siguientes cadenas en sus nombres, inutilizando los antivirus y otro software de seguridad allí instalados: KasperskyAv McAfee VirusScan Norton Antivirus TrendMicro Internet Security TrendMicro PC-cillin 2002 TrendMicro PC-cillin 2003 El gusano enumera la lista de recursos compartidos que son accesibles, e intenta copiarse en cada uno de ellos con algunos de los nombres de archivos creados antes. Genera además, los siguientes archivos en la carpeta del sistema: c:\windows\system\about.txt c:\windows\system\about_blackworm.c.txt El segundo de esos archivos contiene el siguiente mensaje: my MS gay i got a bill to pay n i wonder wut to say but ll i know is wut i know billy bo! aint got no mo shyt to do from this day GoOd ByE MicroGates Made byMyLife El gusano contiene el siguiente texto oculto en su código: #%MaDe@By@MyLiFe%#: * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\archivos de programa\internet explorer\media player.exe c:\windows\system32\connection.exe c:\windows\system32\notepadm.exe c:\windows\task.exe c:\windows\volume\taskman.exe También borre la carpeta VOLUME y todo su contenido: c:\windows\VOLUME Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: (Predeterminado) = [archivo] [archivo] = [archivo] 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: (Predeterminado) = [archivo] 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Active Setup 7. Pinche en la carpeta "Active Setup" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Security 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Gaobot.NNQ. Se copia como "nvsysvc32.exe" _____________________________________________________________ http://www.vsantivirus.com/gaobot-nnq.htm Nombre: W32/Gaobot.NNQ Nombre Nod32: Win32/Agobot.NNQ Tipo: Gusano de Internet y caballo de Troya Alias: Gaobot.NNQ, Agobot.NNQ, W32.Gaobot.BIE, W32/Agobot-MR, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen Fecha: 7/set/04 Plataforma: Windows NT, 2000 y XP Puertos: TCP/135, TCP/445, TCP/80 Tamaño: 105,984 bytes Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades. Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC. Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora. Se copia en el sistema infectado con el siguiente nombre: c:\windows\system32\nvsysvc32.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Agrega las siguientes entradas en el registro: HKLM\Software\Microsoft\Windows\CurrentVersion\Run System File Drivers = "nvsysvc32.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices System File Drivers = "nvsysvc32.exe" Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada: avp .com ca .com dispatch .mcafee .com download .mcafee .com f-secure .com kaspersky .com liveupdate .symantec .com liveupdate .symantecliveupdate .com mast .mcafee .com mcafee .com my-etrust .com nai .com networkassociates .com secure .nai .com securityresponse .symantec .com sophos .com symantec .com update .symantec .com updates .symantec .com us .mcafee .com viruslist .com www .avp .com www .ca .com www .f-secure .com www .kaspersky .com www .mcafee .com www .my-etrust .com www .nai .com www .networkassociates .com www .sophos .com www .symantec .com www .viruslist .com El gusano roba del PC infectado, los posibles identificadores y llaves (CD keys) de conocidos video juegos. Posee además un componente de acceso remoto por puerta trasera vía IRC, que permite a un atacante realizar numerosas acciones en el equipo infectado, incluidos ataques de denegación de servicio (DoS), a blancos específicos. Algunas acciones posibles: - Ejecutar comandos en forma remota - Eliminar procesos seleccionados - Examinar el tráfico HTTP, FTP, e IRC (sniffer) - Finalizar servicios de Windows - Listar los procesos activos - Obtener archivos a través de FTP y HTTP - Obtener direcciones de correo de la computadora infectada - Obtener información del registro - Obtener un determinado URL - Realizar ataques del tipo "floods" (HTTP, ICMP, SYN, y UDP) - Reiniciar la computadora - Robar contraseñas Cuando se ejecuta, puede detener los siguientes procesos, algunos de ellos pertenecientes a conocidos antivirus y cortafuegos: _avp32.exe _avpcc.exe _avpm.exe auto-protect.nav80try.exe f-agobot.exe generics.exe gmt.exe guard.exe guarddog.exe hacktracersetup.exe hbinst.exe hbsrv.exe hijackthis.exe hotactio.exe hotpatch.exe htlog.exe htpatch.exe hwpe.exe hxdl.exe hxiul.exe iamapp.exe iamserv.exe iamstats.exe ibmasn.exe ibmavsp.exe icload95.exe icloadnt.exe icmon.exe icsuppnt.exe idle.exe iedll.exe iedriver.exe iexplorer.exe iface.exe ifw2000.exe inetlnfo.exe infus.exe infwin.exe init.exe intdel.exe intren.exe iomon98.exe iparmor.exe iris.exe isass.exe isrv95.exe istsvc.exe jammer.exe jdbgmrg.exe jedi.exe kavlite40eng.exe kavpers40eng.exe kavpf.exe kazza.exe keenvalue.exe kerio-pf-213-en-win.exe kerio-wrl-421-en-win.exe kerio-wrp-421-en-win.exe kernel32.exe killprocesssetup161.exe launcher.exe ldnetmon.exe ldpro.exe ldpromenu.exe ldscan.exe lnetinfo.exe loader.exe localnet.exe lockdown.exe lockdown2000.exe lookout.exe lordpe.exe lsetup.exe luall.exe luau.exe lucomserver.exe luinit.exe luspt.exe mapisvc32.exe mcagent.exe mcmnhdlr.exe mcshield.exe mctool.exe mcupdate.exe mcvsrte.exe mcvsshld.exe md.exe mfin32.exe mfw2en.exe mfweng3.02d30.exe mgavrtcl.exe mgavrte.exe mghtml.exe mgui.exe minilog.exe mmod.exe monitor.exe moolive.exe mostat.exe mpfagent.exe mpfservice.exe mpftray.exe mrflux.exe msapp.exe msbb.exe msblast.exe mscache.exe msccn32.exe mscman.exe msconfig.exe msdm.exe msdos.exe msiexec16.exe msinfo32.exe mslaugh.exe msmgt.exe msmsgri32.exe mssmmc32.exe mssys.exe msvxd.exe mu0311ad.exe mwatch.exe n32scanw.exe nav.exe navap.navapsvc.exe navapsvc.exe navapw32.exe navdx.exe navengnavex15.navlu32.exe navlu32.exe navnt.exe navstub.exe navw32.exe navwnt.exe nc2000.exe ncinst4.exe ndd32.exe neomonitor.exe neowatchlog.exe netarmor.exe netd32.exe netinfo.exe netmon.exe netscanpro.exe netspyhunter-1.2.exe netstat.exe netutils.exe nisserv.exe nisum.exe nmain.exe nod32.exe normist.exe norton_internet_secu_3.0_407.exe notstart.exe npf40_tw_98_nt_me_2k.exe npfmessenger.exe nprotect.exe npscheck.exe npssvc.exe nsched32.exe nssys32.exe nstask32.exe nsupdate.exe nt.exe ntrtscan.exe ntvdm.exe ntxconfig.exe nui.exe nupgrade.exe nvarch16.exe nvc95.exe nvsvc32.exe nwinst4.exe nwservice.exe nwtool16.exe ollydbg.exe onsrvr.exe optimize.exe ostronet.exe otfix.exe outpost.exe outpostinstall.exe outpostproinstall.exe padmin.exe panixk.exe patch.exe pavcl.exe pavproxy.exe pavsched.exe pavw.exe pcc2002s902.exe pcc2k_76_1436.exe pcciomon.exe pccntmon.exe pccwin97.exe pccwin98.exe pcdsetup.exe pcfwallicon.exe pcip10117_0.exe pcscan.exe pdsetup.exe penis.exe periscope.exe persfw.exe perswf.exe pf2.exe pfwadmin.exe pgmonitr.exe pingscan.exe platin.exe pop3trap.exe poproxy.exe popscan.exe portdetective.exe portmonitor.exe powerscan.exe ppinupdt.exe pptbc.exe ppvstop.exe prizesurfer.exe prmt.exe prmvr.exe procdump.exe processmonitor.exe procexplorerv1.0.exe programauditor.exe proport.exe protectx.exe pspf.exe purge.exe pussy.exe pview95.exe qconsole.exe qserver.exe rapapp.exe rav7.exe rav7win.exe rav8win32eng.exe ray.exe rb32.exe rcsync.exe realmon.exe reged.exe regedit.exe regedt32.exe rescue.exe rescue32.exe rrguard.exe rshell.exe rtvscan.exe rtvscn95.exe rulaunch.exe run32dll.exe rundll.exe rundll16.exe ruxdll32.exe safeweb.exe sahagent.exe save.exe savenow.exe sbserv.exe sc.exe scam32.exe scan32.exe scan95.exe scanpm.exe scrscan.exe scrsvr.exe scvhost.exe sd.exe serv95.exe service.exe servlce.exe servlces.exe setup_flowprotector_us.exe setupvameeval.exe sfc.exe sgssfw32.exe sh.exe shellspyinstall.exe shn.exe showbehind.exe smc.exe sms.exe smss32.exe soap.exe sofi.exe sperm.exe spf.exe sphinx.exe spoler.exe spoolcv.exe spoolsv32.exe spyxx.exe srexe.exe srng.exe ss3edit.exe ssg_4104.exe ssgrate.exe st2.exe start.exe stcloader.exe supftrl.exe support.exe supporter5.exe svc.exe svchostc.exe svchosts.exe svshost.exe sweep95.exe sweepnet.sweepsrv.sys.swnetsup.exe symproxysvc.exe symtray.exe sysedit.exe system.exe system32.exe sysupd.exe taskmg.exe taskmo.exe taskmon.exe taumon.exe tbscan.exe tc.exe tca.exe tcm.exe tds2-98.exe tds2-nt.exe tds-3.exe teekids.exe tfak.exe tfak5.exe tgbob.exe titanin.exe titaninxp.exe tracert.exe trickler.exe trjscan.exe trjsetup.exe trojantrap3.exe tsadbot.exe tvmd.exe tvtmd.exe undoboot.exe updat.exe update.exe upgrad.exe utpost.exe vbcmserv.exe vbcons.exe vbust.exe vbwin9x.exe vbwinntw.exe vcsetup.exe vet32.exe vet95.exe vettray.exe vfsetup.exe vir-help.exe virusmdpersonalfirewall.exe vnlan300.exe vnpc3000.exe vpc32.exe vpc42.exe vpfw30s.exe vptray.exe vscan40.exe vscenu6.02d30.exe vsched.exe vsecomr.exe vshwin32.exe vsisetup.exe vsmain.exe vsmon.exe vsstat.exe vswin9xe.exe vswinntse.exe vswinperse.exe w32dsm89.exe w9x.exe watchdog.exe webdav.exe webscanx.exe webtrap.exe wfindv32.exe wgfe95.exe whoswatchingme.exe wimmun32.exe win32.exe win32us.exe winactive.exe win-bugsfix.exe window.exe windows.exe wininetd.exe wininit.exe wininitx.exe winlogin.exe winmain.exe winnet.exe winppr32.exe winrecon.exe winservn.exe winssk32.exe winstart.exe winstart001.exe wintsk32.exe winupdate.exe wkufind.exe wnad.exe wnt.exe wradmin.exe wrctrl.exe wsbgate.exe wupdater.exe wupdt.exe wyvernworksfirewall.exe xpf202en.exe zapro.exe zapsetup3001.exe zatutor.exe zonalm2601.exe zonealarm.exe Intenta copiarse a sistemas infectados con los siguientes troyanos y gusanos: Beagle Kuang2 Mydoom Netdevil Optix SubSeven * Reparación manual * IMPORTANTE: Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces: Windows XP vulnerable al acceso no autorizado (MS01-059) http://www.vsantivirus.com/vulms01-059.htm Elevación de privilegios en las tareas de SQL Server http://www.vsantivirus.com/vulms-059-060-061.htm Falla crítica en servidores Microsoft IIS 5.0 (MS03-007) http://www.vsantivirus.com/vulms03-007.htm MS03-039 Ejecución de código en servicio RPCSS (824146) http://www.vsantivirus.com/vulms03-039.htm MS03-043 Ejecución de código con el Mensajero (828035) http://www.vsantivirus.com/vulms03-043.htm MS03-049 Falla en servicio Estación de Trabajo (828749) http://www.vsantivirus.com/vulms03-049.htm MS04-011 Actualización crítica (LSASS) (835732) http://www.vsantivirus.com/vulms04-011.htm * Métodos para detener el reinicio de Windows La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad RPC/DCOM). Para evitarlo, siga cualquiera de estos métodos: 1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche). 2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter): shutdown -a * Cortafuegos Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT, y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: System File Drivers 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: System File Drivers 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\nvsysvc32.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Reinicie su computadora. * Información adicional * IMPORTANTE Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. También instale los parches mencionados más adelante. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano. * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1525 Año 8, jueves 9 de setiembre de 2004