Mostrando mensaje 581     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1532 Año 8, jueves 16 de setiembre de 2004 Fecha: Jueves, 16 de Septiembre, 2004  01:53:32 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1532 Año 8, jueves 16 de setiembre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Graves vulnerabilidades en Netscape 7.x 2 - W32/Mydoom.AA. Descarga y ejecuta otros archivos 3 - W32/Mydoom.Z. Se propaga por correo electrónico 4 - W32/Mexer.E. Se propaga vía e-mail, KaZaa e iMesh _____________________________________________________________ 1 - Graves vulnerabilidades en Netscape 7.x _____________________________________________________________ http://www.vsantivirus.com/vul-netscape-160904.htm Graves vulnerabilidades en Netscape 7.x Por Angela Ruiz angela@videosoft.net.uy Secunia advierte que 6 de las 7 vulnerabilidades reportadas recientemente en Mozilla se aplican a Netscape 7.x, habiendo sido confirmadas en la versión Netscape 7.2 para Windows (la más reciente al momento de este artículo). Estas vulnerabilidades pueden permitir a un atacante acceder y modificar información sensible, comprometer el sistema del usuario, y llevar a cabo ataques del tipo Cross-Site- Scripting. Los detalles de estas vulnerabilidades se encuentran en el siguiente enlace: Múltiples y graves vulnerabilidades en Mozilla http://www.vsantivirus.com/vul-mozilla-150904.htm Los fallos comprobados son los siguientes: Un desbordamiento de búfer en uno de los componentes (nsMsgCompUtils.cpp), puede permitir la ejecución de código por el simple reenvío de un correo electrónico (ver vulnerabilidad 1). Es posible leer y escribir el contenido del portapapeles (ver vulnerabilidad 2). El uso malicioso de archivos VCard (información de contactos), puede provocar la ejecución arbitraria de código (vulnerabilidad 3). Un sitio web puede provocar la ejecución de código local al seleccionar un tipo de enlace construido maliciosamente (vulnerabilidad 5). La visualización de ciertas imágenes de formato BMP, puede llegar a provocar la ejecución de código. Ello es posible tanto al visitar el usuario una página web, como al visualizar un correo electrónico (vulnerabilidad 6). La función arrastrar puede llevar a la ejecución de código no deseado (vulnerabilidad 7). El único fallo de los descriptos en el artículo de referencia, que no afecta a Netscape es el relacionado con el componente que maneja la comunicación de correo POP3 (indicado con el número 4). Actualmente no existen soluciones del fabricante para este navegador, por lo que no se recomienda su uso. * Créditos: Juha-Matti Laurio * Relacionados: Múltiples y graves vulnerabilidades en Mozilla http://www.vsantivirus.com/vul-mozilla-150904.htm Mozilla Multiple Vulnerabilities http://secunia.com/advisories/12526/ Netscape Multiple Vulnerabilities http://secunia.com/advisories/12535/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Mydoom.AA. Descarga y ejecuta otros archivos _____________________________________________________________ http://www.vsantivirus.com/mydoom-aa.htm Nombre: W32/Mydoom.AA Nombre Nod32: Win32/Mydoom.AA Tipo: Gusano de Internet y caballo de Troya Alias: Mydoom.AA, I-Worm.Mydoom.y, W32/Mydoom.ab@MM, Win32.Mydoom.AA, Win32/Mydoom.AA.Worm, W32/Mydoom.Z.worm, Win32.Mydoom.Y@mm Fecha: 15/set/04 Plataforma: Windows 32-bit Tamaño: 69,632 bytes (UPX) Variante del Mydoom detectada el 15 de setiembre de 2004. Se propaga por correo electrónico. Los remitentes de los mensajes son falsos, generados con los siguientes componentes [Usuario]+[Dominio]: Donde [Usuario] es creado con los siguientes nombres y apellidos: Nombres: Alex Alexander Andrew Anthony Barry Bernard Bill Brian Calvin Carl Charles Christopher Clifford Daniel David Dennis Donald Douglas Edward Eric Francisco Frank Gary George Gregory Harold Henry James Jason Jay Jeffrey Jerry Jim John Jon Jose Joseph Joshua Kenneth Kevin Larry Leon Leroy Lloyd Marcus Mario Mark Matthew Michael Micheal Miguel Oscar Patrick Paul Peter Randall Raymond Richard Ricky Robert Ronald Ronnie Scott Stephen Steven Theodore Thomas Timothy Tom Tommy Troy Walter William Apellidos: Adams Allen Anderson Baker Brown Campbell Carter Clark Cruz Davis Freeman Garcia Gomez Gonzalez Green Hall Harris Hernandez Hill Jackson Johnson Jones King Lee Lewis Lopez Marshall Martin Martinez Miller Mitchell Moore Murray Nelson Ortiz Parker Perez Phillips Porter Roberts Robinson Rodriguez Scott Simpson Smith Stevens Taylor Thomas Thompson Tucker Turner Walker Webb Wells White Williams Wilson Wright Young [Dominio] es el dominio del destinatario, o uno de los siguientes: @ 1access .net @ a1isp .net @ accessus .net @ address .com @ ameralinx .net @ aol .com @ apci .net @ arczip .com @ aristotle .net @ att .net @ cableone .net @ cais .com @ canada .com @ cayuse .net @ ccp .com @ ccpc .net @ chello .com @ compuserve .com @ core .com @ cox .net @ cybernex .net @ dailymail .co .uk @ dialupnet .com @ earthlink .net @ eclipse .net @ eisa .com @ ev1 .net @ excite .com @ fast .net @ fcc .net @ flex .com @ gbronline .com @ globalbiz .net @ globetrotter .net @ gmx .net @ highstream .net @ hiwaay .net @ hotmail .com @ ieway .com @ inext .fr @ infoave .net @ iquest .net @ isp .com @ ispwest .com @ istep .com @ juno .com @ loa .com @ macconnect .com @ madriver .com @ mail .com @ msn .com @ nccw .net @ netcenter .com @ netrox .net @ netzero .net @ pacific .net .sg @ palm .net @ pathlink .com @ peoplepc .com @ pics .com @ rcn .com @ ricochet .com @ surfree .com @ tiscali .com @ toad .net @ t-online .com @ t-online .de @ ultimanet .com @ verizon .net @ wanadoo .com @ worldcom .com @ worldshare .net @ wwc .com @ yahoo .co .uk @ yahoo .com @ ziplink .net El asunto del mensaje puede ser alguno de los siguientes: - (no subject) - :) - :)) - 2 new photos - a lot of fun. - do you know this girl? - do you know this people? - do you know this ppl? - fun - fun pictures - FW: - FW: (no subject) - FW: 2 new photos - FW: Cool - FW: hello sweety :> - FW: hi - FW: hi, it's me - FW: it's me - FW: jenna's photos :) - FW: my photos - FW: new photos - FW: remember me?.. - FW: that's me :-D - FW:cool - FW:COOL! - FW:fun pictures - have you seen this before? - hello sweety :> - Hello! - Hello...Funny pic...hehehe - hi - hi, it's me - Is it your photo? - it's me - I've never seen this before. Look at that ! - Look :) - LOOK! - LOOK! - Loool!! :-) - my new photos - my photos - new photos - Re: - Re:cool - Re:COOL! - Re:fun pictures - Re[2]: - Re[2]:cool - Re[2]:COOL! - Re[2]:fun pictures - remember me?.. - that's me :-D - with best wishes El texto del mensaje puede ser alguno de los siguientes: -----Original Message----- From: Jeny K. Sent: Monday, September 13, 2004 8:57 PM To: Morpheus check my new photos :)) miss you, jeny k -----Original Message----- From: Jena K. Sent: Monday, September 13, 2004 5:23 AM To: friends Check Out Archive.. So.. What Do You Think... Am I Hot? :) Waining For Your Answer Jena Key -----Original Message----- From: jenny k. Sent: Monday, September 13, 2004 10:23 AM To: My Tiger (e-mail) new fotos(archived) you asked jenny k -----Original Message----- From: jenna k. (e-mail) Sent: Monday, September 13, 2004 11:38 AM To: Cat my new fotos archived )) kiss, jenna k -----Original Message----- From: Jeny Sent: Monday, September 13, 2004 8:57 PM To: Neo see the photos in attached archive :)) kiss you, jeny -----Original Message----- From: Jena Sent: Monday, September 13, 2004 5:23 AM To: friend Photos in archive.. So.. Am I Hot? :) Waining For Your Answer Jena -----Original Message----- From: Jenna Knukles Sent: Monday, September 13, 2004 9:05 AM To: Friends Group in self-extracting archive my photos Jenna :) -----Original Message----- From: jenna (e-mail) Sent: Monday, September 13, 2004 11:38 AM To: ma kittie my photos archived )) kiss, jenna fun flash game! fun flash! game! fun game! Print money at home! look at atach -----Original Message----- From: Jeny K. Sent: Monday, September 13, 2004 8:57 PM To: Morpheus check out the new photos :)) miss you, jeny k -----Original Message----- From: Jena K. Sent: Monday, September 13, 2004 5:23 AM To: friends So.. What Do You Think... Am I Hot? :) Waining For Your Answer Jena Key -----Original Message----- From: Jenna Knukles Sent: Monday, September 13, 2004 9:05 AM in archive my new fotos Jenna K :) -----Original Message----- From: jenny k. Sent: Monday, September 13, 2004 10:23 AM To: My Tiger (e-mail) new fotos you asked jenny k -----Original Message----- From: jenna k. (e-mail) Sent: Monday, September 13, 2004 11:38 AM To: Cat my new fotos zipped )) kiss, jenna k -----Original Message----- From: Jeny Sent: Monday, September 13, 2004 8:57 PM To: Neo see the photos :)) kiss you, jeny -----Original Message----- From: Jena Sent: Monday, September 13, 2004 5:23 AM To: friend So.. Am I Hot? :) Waining For Your Answer Jena -----Original Message----- From: Jenna Knukles Sent: Monday, September 13, 2004 9:05 AM To: Friends Group in archive my photos Jenna :) -----Original Message----- From: jenny Sent: Monday, September 13, 2004 10:23 AM To: Mr.X (e-mail) photos you asked jenny -----Original Message----- From: jenna (e-mail) Sent: Monday, September 13, 2004 11:38 AM To: ma kittie my photos zipped )) kiss, jenna a lot of fun. do you know this girl? do you know this people? do you know this ppl? fun flash game! fun flash! fun game! fun pictures game! have you seen this before? Hello! Hello...Funny pic...hehehe Is it your photo? I've never seen this before. Look at that ! Look :) look at atach look at new photos LOOK! Loool!! :-) my new photos Print money at home! with best wishes You've got a postcard. To view this postcard, click on the attached file Al texto del mensaje puede agregar al final, el siguiente reporte falso: +++ Attachment: No Virus found +++ [nombre antivirus] Donde [nombre antivirus] es uno de los siguientes: Bitdefender AntiVirus - www .bitdefender .com F-Secure AntiVirus - www .f-secure .com Kaspersky AntiVirus - www .kaspersky .com MC-Afee AntiVirus - www .mcafee .com MessageLabs AntiVirus - www .messagelabs .com Norman AntiVirus - www .norman .com Norton AntiVirus - www .symantec .de Panda AntiVirus - www .pandasoftware .com El archivo adjunto, puede tener alguno de los siguientes nombres: 2004042301.jpg [varios espacios] .pif arc.cpl arc.exe arhive.zip black.gif [varios espacios] .pif DCP_0002.JPG [varios espacios] .pif document.jpg [varios espacios] .pif flowers.jpg [varios espacios] .pif foto.cpl foto.exe fotos.cpl fotos.exe fotos.zip images.zip julia038.jpg [varios espacios] .pif marie_dancing.jpg [varios espacios] .pif me_01.jpg [varios espacios] .pif my_foto.cpl my_foto.exe my_photo.jpg [varios espacios] .pif my_photos.cpl my_photos.exe my_photos.zip myfoto.cpl myfoto.exe myphotos.zip myphotos_arc.exe new_photos.cpl new_photos.exe new_photos.zip new_pic.zip newphotos.cpl newphotos.exe nude_.jpg [varios espacios] .pif photo.jpg [varios espacios] .pif photo_se.cpl photo_se.exe photo08.jpg [varios espacios] .pif photoarchive.cpl photoarchive.exe photofile.cpl photofile.exe photos.exe.safe photos.selfextracting.exe photos.zip photos_arc.cpl photos_arc.exe pic.jpg [varios espacios] .pif pic.zip sunny.jpg [varios espacios] .pif with_flowers.jpg [varios espacios] .pif Si el adjunto es un ZIP, el contenido puede tener uno de los nombres anteriores con dos extensiones. Cuando se ejecuta, crea los siguientes archivos en el sistema infectado: c:\windows\services.exe NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). Para autoejecutarse en cada reinicio, modifica las siguientes entradas en el registro: HKLM\SYSTEM\ControlSet001\Services\NetBios Ext ImagePath = c:\windows\services.exe serv HKLM\SYSTEM\CurrentControlSet\Services\NetBios Ext ImagePath = c:\windows\services.exe serv El gusano se propaga por redes P2P como KaZaa, copiándose en la carpeta compartida con los siguientes nombres: 1.exe antibush.scr childporno.pif coolgame.zip .exe crazzygirls.scr dap53 crack.exe dap53.exe dap71.exe dvdplayer.exe eroticgirls2.0.exe fantasy.scr hello.pif icq2004-final.exe icqcrack.exe icqlite.exe icqpro2003b crack.exe icqpro2003b.exe iMeshV4 crack.exe iMeshV4.exe kmd.exe LimeWireWin.exe matrix.scr Morpheus.exe mult.exe myfack.pif mylove.pif mymusic.pif mynewphoto.zip .exe newvirus.exe nicegirlsshowv12.scr opera7.7.exe opera7.x crack.exe pinguin5.exe rulezzz.scr trillian 2.0 crack.exe trillian-v2.74h.exe tropicallagoonss.scr winamp5.exe winamp6.exe WinZip 9.0 crack.exe WinZip 9.0.exe wrar330 crack.exe wrar330.exe you the best.scr zlsSetup_45_538_001.exe Para propagarse por ICQ, utiliza un mensaje con un enlace para descargar el gusano. Ejemplos: best game http://65.110.51.???/icon/game.exe ;-);-);-) fun game http://www.scionicmusic.com/???/game.exe :-):-):-) funn http://64.40.98.???/icon/game.exe :-):-):-) funy game http://www.scionicmusic.com/???/game.exe ;-);-);-) http://64.40.98.???//icon/game.exe :-):-) http://64.40.98.???/icon/game.exe funny :-);-) http://65.110.51.???/icon/game.exe ;-);-);-);-) http://65.110.51.???/icon/game.exe LOL!! ;-);-);-) http://www.???.unibo.it/claroline142/photo.exe i cried :-) http://www.???.unibo.it/claroline142/photo.exe lol :-):-) i now play in game http://www.scionicmusic.com/???/game.exe :-):-) my photos (archived)http://www.???.unibo.it/claroline142/photo.exe El gusano evita enviar mensajes a cualquier dirección que en su nombre contenga algunas de las siguientes cadenas: .gov .mil @foo. @iana abuse accoun acketst admin antivi anyone arin. avp. berkeley borlan bsd certific contact example feste fido fsf. gnu gold-certs google gov. help iana ibm.com icq.com icrosof icrosoft ietf info inpris isc.o isi.e kasp kernel linux listserv math messagelabs mit.e mozilla mydomai news nobody nodomai noone noreply nothing ntivi panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site somebody someone sopho spam submit support syman tanford.e unix upport usenet utgers.ed webmaster www Las direcciones para el envío de los mensajes infectados, son tomadas de archivos seleccionados de diferentes carpetas de las unidades de discos de la C a la Z. Los archivos examinados, poseen las siguientes extensiones: .asp .cfg .cgi .dbx .dht .eml .htm .jsp .mbx .mht .msg .php .sht .stm .tbb .txt .uin .wab .xls También genera direcciones al azar, usando nombres de dominio obtenidos de direcciones válidas. Descarga y ejecuta otros archivos, de los siguientes dominios: http://64.40.98.???/manual/images/apache.gif http://www.il-????.it/forumBB/postmsg.gif http://www.masteratwork.com/???/wassup/00000008.cgi http://www.mercyships.de/html/content/???/data/data2.dat http://www.professionals-active.com/adclik/click.dat http://www.scionicmusic.com/???/cover_v3.jpg http://www.???.unibo.it/claroline142/claroline/index.gif El gusano intenta detener los siguientes servicios: ibmavsp.exe icload95.exe icloadnt.exe icmon.exe icssuppnt.exe icsupp95.exe icsuppnt.exe idle.exe iedll.exe iedriver.exe iface.exe ifw2000.exe inetlnfo.exe infus.exe infwin.exe init.exe intdel.exe intren.exe iomon98.exe iparmor.exe iris.exe isass.exe isrv95.exe istsvc.exe jammer.exe jammer2nd.exe jdbgmrg.exe jedi.exe kavlite40eng.exe kavpers40eng.exe kavpf.exe keenvalue.exe kerio-pf-213-en-win.exe kerio-wrl-421-en-win.exe kerio-wrp-421-en-win.exe kernel32.exe killprocesssetup161.exe launcher.exe ldnetmon.exe ldpro.exe ldpromenu.exe ldscan.exe lnetinfo.exe loader.exe localnet.exe lockdown.exe lockdown2000.exe lookout.exe lordpe.exe lsetup.exe luall.exe luau.exe lucomserver.exe luinit.exe luspt.exe mapisvc32.exe mcagent.exe mcmnhdlr.exe mcshield.exe mctool.exe mcupdate.exe mcvsrte.exe mcvsshld.exe md.exe mfin32.exe mfw2en.exe mfweng3.02d30.exe mgavrtcl.exe mgavrte.exe mghtml.exe mgui.exe minilog.exe mmod.exe monitor.exe moolive.exe mostat.exe mpfagent.exe mpfservice.exe mpftray.exe mrflux.exe msapp.exe msbb.exe msblast.exe mscache.exe msccn32.exe mscman.exe msconfig.exe msdm.exe msdos.exe msiexec16.exe msinfo32.exe mslaugh.exe msmgt.exe msmsgri32.exe mssmmc32.exe msssss.exe mssys.exe msvxd.exe mu0311ad.exe mwatch.exe n32scanw.exe nav.exe navap.navapsvc.exe navapsvc.exe navapw32.exe navdx.exe navengnavex15.navlu32.exe navlu32.exe navnt.exe navstub.exe navw32.exe navwnt.exe nc2000.exe ncinst4.exe ndd32.exe neomonitor.exe neowatchlog.exe netarmor.exe netd32.exe netinfo.exe netmon.exe netscanpro.exe netspyhunter-1.2.exe netutils.exe nisserv.exe nisum.exe nmain.exe nod32.exe normist.exe norton_internet_secu_3.0_407.exe notstart.exe npf40_tw_98_nt_me_2k.exe npfmessenger.exe nprotect.exe npscheck.exe npssvc.exe nsched32.exe nssys32.exe nstask32.exe nsupdate.exe nt.exe ntrtscan.exe ntxconfig.exe nui.exe nupgrade.exe nvarch16.exe nvc95.exe nwinst4.exe nwservice.exe nwtool16.exe ollydbg.exe onsrvr.exe optimize.exe ostronet.exe otfix.exe outpost.exe outpostinstall.exe outpostproinstall.exe padmin.exe panixk.exe patch.exe pavcl.exe pavproxy.exe pavsched.exe pavw.exe pcc2002s902.exe pcc2k_76_1436.exe pcciomon.exe pccntmon.exe pccwin97.exe pccwin98.exe pcdsetup.exe pcfwallicon.exe pcip10117_0.exe pcscan.exe pdsetup.exe penis.exe periscope.exe persfw.exe perswf.exe pf2.exe pfwadmin.exe pgmonitr.exe pingscan.exe platin.exe pop3trap.exe poproxy.exe popscan.exe portdetective.exe portmonitor.exe powerscan.exe ppinupdt.exe pptbc.exe ppvstop.exe prizesurfer.exe prmt.exe prmvr.exe procdump.exe processmonitor.exe procexplorerv1.0.exe programauditor.exe proport.exe protectx.exe pspf.exe purge.exe pussy.exe pview95.exe qconsole.exe qserver.exe rapapp.exe rasmngr.exe rav7.exe rav7win.exe rav8win32eng.exe ravmond.exe ray.exe rb.exe rb32.exe rcsync.exe realmon.exe reged.exe rescue.exe rescue32.exe rrguard.exe rshell.exe rtvscan.exe rtvscn95.exe rulaunch.exe rundll.exe rundll16.exe ruxdll32.exe safeweb.exe sahagent.exe save.exe savenow.exe sbserv.exe sc.exe scam32.exe scan32.exe scan95.exe scanpm.exe scrscan.exe scrsvr.exe sd.exe serv95.exe servlce.exe servlces.exe setup_flowprotector_us.exe setupvameeval.exe sfc.exe sgssfw32.exe sh.exe shellspyinstall.exe shn.exe showbehind.exe smc.exe sms.exe smss32.exe soap.exe sofi.exe sperm.exe spf.exe sphinx.exe spoolcv.exe spoolsv32.exe spyxx.exe srexe.exe srng.exe ss3edit.exe ssg_4104.exe ssgrate.exe ssgrate.exe st2.exe start.exe stcloader.exe supftrl.exe support.exe supporter5.exe svc.exe svchostc.exe sweep95.exe sweepnet.sweepsrv.sys.swnetsup.exe symproxysvc.exe symtray.exe sysedit.exe system.exe system32.exe systra.exe sysupd.exe sysxp.exe taskmanagr.exe taskmo.exe taskmon.exe taumon.exe tbscan.exe tc.exe tca.exe tcm.exe tds2-98.exe tds2-nt.exe tds-3.exe teekids.exe tfak.exe tfak5.exe tgbob.exe titanin.exe titaninxp.exe tracert.exe trickler.exe trjscan.exe trjsetup.exe trojantrap3.exe tsadbot.exe tvmd.exe tvtmd.exe undoboot.exe updat.exe update.exe upgrad.exe utpost.exe vbcmserv.exe vbcons.exe vbust.exe vbwin9x.exe vbwinntw.exe vcsetup.exe vet32.exe vet95.exe vettray.exe vfsetup.exe vir-help.exe virusmdpersonalfirewall.exe visualguard.exe vnlan300.exe vnpc3000.exe vpc32.exe vpc42.exe vpfw30s.exe vptray.exe vscan40.exe vscenu6.02d30.exe vsched.exe vsecomr.exe vshwin32.exe vsisetup.exe vsmain.exe vsmon.exe vsstat.exe vswin9xe.exe vswinntse.exe vswinperse.exe w32dsm89.exe w9x.exe watchdog.exe webdav.exe webscanx.exe webtrap.exe wfindv32.exe wgfe95.exe whoswatchingme.exe wimmun32.exe win32.exe win32us.exe winactive.exe win-bugsfix.exe window.exe windows.exe wininetd.exe wininit.exe wininitx.exe winlogin.exe winmain.exe winppr32.exe winrecon.exe winssk32.exe winstart.exe winstart001.exe wintsk32.exe winupdate.exe winxp.exe wkufind.exe wnad.exe wnt.exe wowpos32.exe wradmin.exe wrctrl.exe wuamga.exe wuamgrd.exe wupdater.exe wupdt.exe wyvernworksfirewall.exe xpf202en.exe zapro.exe zapsetup3001.exe zatutor.exe zonalm2601.exe zonealarm.exe Para no ejecutarse más de una vez en memoria, utiliza el siguiente mutex: ertglddfgd * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \ControlSet001 \Services \NetBios Ext 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: ImagePath = c:\windows\services.exe serv 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \NetBios Ext 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: ImagePath = c:\windows\services.exe serv 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Mydoom.Z. Se propaga por correo electrónico _____________________________________________________________ http://www.vsantivirus.com/mydoom-z.htm Nombre: W32/Mydoom.Z Nombre Nod32: Win32/Mydoom.Z Tipo: Gusano de Internet y caballo de Troya Alias: Mydoom.Z, MyDoom.Y, W32.Mydoom.W@mm, W32/MyDoom-X, WORM_MYDOOM.X, I-Worm.MyDoom.gen, I-Worm.Mydoom.x, W32/Mydoom.Z.worm Fecha: 14/set/04 Plataforma: Windows 32-bit Tamaño: 88,640 (FSG) Variante del Mydoom detectada el 14 de setiembre de 2004. También es detectada con el nombre de variantes anteriores. Se destaca por realizar un ataque de denegación de servicio al sitio de Symantec. Se propaga por correo electrónico. Los remitentes de los mensajes son falsos, generados con los siguientes componentes [1]+[2]+[3]: Donde [1] es uno de los siguientes componentes: alex alexander andrew anthony barry bernard bill brian calvin carl charles clifford daniel david dennis donald douglas edward eric francisco frank gary george gregory harold henry jason jay jeffrey jerry jim john jon jose josephjames joshua kenneth kevin larry leon leroy lloyd marcus mario mark matthew michael micheal miguel oscar patrick paul peter randall raymond richard ricky robert ronald ronnie scott stephen steven theodore thomas timothy tom tommy troy walter william [2] es uno de los siguientes componentes: _1 _12 _16 _22 _22 _26 _33 _44 _98 [3] es el dominio del destinatario, o uno de los siguientes: @ aol .com @ cox .net @ dailymail .co .uk @ hotmail .com @ mail .com @ msn .com @ t-online .de @ yahoo .co .uk @ yahoo .com El asunto del mensaje puede ser alguno de los siguientes: - Delivery status Notification - Failn - FW:Hello - FW:Hi - FW:Important - FW:Information - FW:Read - FW:Thanks - Hello - Hello - Hello! - Hi - Hi! - Important - Information - News - Re:Hello! - Re:Help - Re:Hi - Re:Important - Re:Information - Re:News - Re:Question - Re:Read - Re:Test - Re:Thanks - Read - Thanks El texto del mensaje puede ser alguno de los siguientes: - !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! - :-) - apply this patch! - check! - Error - For further details see the attachment. - For more details see the attachment. - fun game! - fun! - Hello Check the attachment. - Here is my photo.:-) - Here is the attachment. - I have attached document. - lol! - Monthly news report. - Please answer quickly! - Please confirm! - Please read the attached file! - Please read the important document. - Please see the attached file for details - screensaverlol! - See the file. - See the file. - test - Thanks! - Virus removal tool - Waiting for a Response. Please read the attachment. - Your archive is attached. Al texto del mensaje puede agregar al final, uno de los siguientes reportes falsos: +++ Attachment: No Virus found +++ [nombre antivirus] +++ Attachment: No Infection found +++ [nombre antivirus] Donde [nombre antivirus] es uno de los siguientes: - Bitdefender AntiVirus - www .bitdefender .com - F-Secure AntiVirus - www .f-secure .com - Kaspersky AntiVirus - www .kaspersky .com - MC-Afee AntiVirus - www .mcafee .com - MessageLabs AntiVirus - www .messagelabs .com - Norman AntiVirus - www .norman .com - Norton AntiVirus - www .symantec .com - Panda AntiVirus - www .pandasoftware .com El archivo adjunto, puede tener un nombre creado con los componentes [1]+[2], donde [1] puede ser uno de los siguientes: bqc.qbp bqcument.qbp check.qbp error.qbp file.qbp Fix.qbp information.qbp letter.qbp message.qbp read.qbp report.qbp screen.qbp Y [2] es una de las siguientes extensiones, precedidas en ocasiones por varios espacios: .bat .cmd .exe .pif .scr También puede incluirse en un adjunto con extensión .ZIP y uno de los siguientes nombres: crack Fixtool Hotmail hacker kazz klez mirc mydoom netsky ps2 emulator pyrnare SeX SoBig Upload Vaho Virus Winamp Winrar Winzip xbox emulator XXX Pictures XXX Videos yahoo hacker Cuando se ejecuta, crea los siguientes archivos en el sistema infectado: c:\windows\system\oz11111.exe c:\windows\oz2.exe Crea también los siguientes archivos: \TEMP\Services.exe c:\windows\system\About_Mydoom.txt c:\windows\system\Doompic.jpg c:\windows\system\log32zx.exe c:\windows\system\Downxz.bat NOTA 1: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). NOTA 2: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. Los archivos SERVICES.EXE, LOG32ZX.EXE y DOWNXZ.BAT son detectados como troyanos. DOOMPIC.JPG es una imagen inofensiva, y ABOUT_MYDOOM.TXT contiene la siguiente descripción del propio gusano: Contain 1- ATTACK www.symantec.com On Sept 29 2004 starting at 2 2- drops yahoo keylogger that open 4321, http://victim_ip:4321/ 3- drops 2 pictures that will not be showing to the victim 4- drops a downxz.bat which download Bacdoor.Nemog.c 5- drops services.exe , zincite.a 6- Retrieves email addresses from the Outlook address book and files on fixed disks, ram disks, and in the following registry key and folders: %Userprofile%\Local Settings\Temporary Internet Files %Userprofile%\Desktop %Userprofile%\My Documents %Userprofile%\Application Data , etc queries HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name and searches for emails. go and detect the other information. In a difficult world In a nameless time I want to survive So, you will be mine!!,second author Nemog and ZinCite :P¿mnopqrst Para autoejecutarse en cada reinicio, crea alguna de las siguientes entradas en el registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Downxz = c:\windows\system\Downxz.bat HKCU\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Windows updaterD = c:\windows\system\log32zx.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run oz2 = c:\windows\oz2.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services = \TEMP\services.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run www .symantec .com = c:\windows\system\oz11111.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run Downxz = c:\windows\system\Downxz.bat HKLM\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Windows updaterD = c:\windows\system\log32zx.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run oz2 = c:\windows\oz2.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services = \TEMP\services.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run www .symantec .com = c:\windows\system\oz11111.exe Busca en el registro la carpeta compartida del KaZaa, para copiarse en ella como [nombre]+[extensión], donde [nombre] es uno de los siguientes: cleaner crack Fixtool Hotmail hacker kazz klez mirc mydoom netsky ps2 emulator SeX SoBig Upload Vaho Virus Winamp Winrar Winzip xbox emulator XXX Pictures XXX Videos yahoo hacker Y [extensión] es una de las siguientes: .bat .exe .pif .scr Al iniciarse, crea el siguiente mutex para no cargarse más de una vez en memoria: Sept-Symantec-Attack El gusano evita enviar mensajes a cualquier dirección que en su nombre contenga algunas de las siguientes cadenas: avp .gov .mil abuse account acketst admin anyone arin. berkeley borlan bsd bsd bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google gov. help iana ibm.com icrosof ietf info inpris isc.o isi.e kernel linux linux listserv math me microsoft mit.e mozilla mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho spam spm submit support syma tanford.e the.bat unix unix usenet utgers.ed webmaster www you your Las direcciones para el envío de los mensajes infectados, son tomadas de archivos seleccionados de diferentes carpetas de las unidades de discos de la C a la Z. Los archivos examinados, poseen las siguientes extensiones: .adb .asp .cfg .cgi .dbx .eml .htm .html .jsp .mbx .mdx .msg .php .sht .tbb .txt .uin .vbs .wab .wsh .xls .xml Realiza ataques de denegación de servicio a la dirección de Symantec (Norton Antivirus), si la fecha actual está entre el 1 de setiembre de 2004 y el 1 de octubre de 2004. Deja de funcionar si se ejecuta después del 1 de octubre del mismo año. El gusano también borra el contenido actual de la carpeta TEMP. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas que coincidan con la siguiente lista: Downxz Microsoft Windows updaterD oz2 Services www .symantec .com 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas que coincidan con la siguiente lista: Downxz Microsoft Windows updaterD oz2 Services www .symantec .com 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Mexer.E. Se propaga vía e-mail, KaZaa e iMesh _____________________________________________________________ http://www.vsantivirus.com/mexer-e.htm Nombre: W32/Mexer.E Tipo: Gusano de Internet Alias: Mexer.E, W32.Mexer.E@mm, Win32/Harex.D, Trojan.Divid, W32.Mexer.E.Worm, W32/Harex.D, W32/P2P.Harex.D, Win32.P2P.Harex.C@mm, Win32/Harex.D, Win32/HLLW.Dividend, Win32/P2P.Harex.Worm, Win32:Harex [Wrm], Worm.P2P.Harex, Worm.P2P.Harex.d Fecha: 16/set/03 Plataforma: Windows 32-bit Tamaño: 30,720 bytes (puede agregar más bytes) Este gusano, comprimido con la utilidad de compresión de ejecutables FSG, intenta propagarse a través de redes de archivos compartidos Peer-To-Peer (P2P) como KaZaA e iMesh. También se propaga a través del correo electrónico. Cuando se ejecuta el gusano crea una de las siguientes carpetas: c:\windows\system\SYS32 c:\windows\system\SYSNET NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). Luego se copia en la carpeta creada con los siguientes nombres de archivos: Borland KeyGens.exe BurnDvds.exe Cisco Certification Test.exe Counterstrike aim hack.exe Counterstrike hacks.exe Counter-Strike, Condition Zero: Activation Key.exe Crack McAfee 7.exe Crack Norton 3000.exe Diablo 2 map hack.exe Diablo 2 no-cd hack.exe Dvd Ripper.exe Dvd To Vcd.exe Easy Dvd Ripper.exe EBAY.exe EZ Dvd Ripper.exe icqbomber.exe Information.exe INTERNET.EXE Jamella's Diablo 2 hero editor.exe MP3 encoder decoder V1.8.exe MSCE Certification Test.exe Nero Burning ROM v6.3 Ultra: Enterprise edition key.exe Nimo Codec Pack Updater.exe PANDA.AVers.lusers.exe PANDA.lusers.exe PROVIDER.EXE Ruby13.exe SophosCrackAllVersion.exe Starcraft + Broodwar 1.10 map hack.exe Starcraft + Broodwar 1.10 no-cd hack.exe The Frozen Throne map hack.exe VISA.EXE Warcraft 3 Frozen Throne cd-cd hack.exe Warcraft 3 Frozen Throne map hack.exe Warcraft 3 map hack.exe Warcraft 3 no-cd hack.exe Warcraft 3 stat hack.exe Windows Nt Certification Test.exe XBOX X-Fer Ripper and Transfer.exe Xvid Codec Installer.exe También se copia en la misma carpeta con alguno de los siguientes nombres: A+ Certification Test.exe ???? Adobe Photoshop CS and ImageReady CS 8.0 ???? Airport Tycoon II - ???? All Adobe Products ???? All Macromedia Products ???? All Microsoft Products ???? American Conquest - ???? Apache AH-64 Air Assault - ???? Battlefield 1942 The Road to Rome - ???? Battlefield Vietnam - ???? BitDefender ???? Bridge Baron 13 ???? Command and Conquer Generals ???? Deus Ex - ???? Divx Pro 5.1 ???? Doom 3 - ???? Dvd Plus ???? Dvd Wizard Pro ???? Dvd Xcopy ???? DvdCopyOne ???? DvdToVcd ???? Easy Dvd creator ???? Eonix Realm Of Hepmia - ???? Fetish Fighters - ???? Forbidden Siren - ???? Freelancer - ???? Grom - ???? Harry Potter and the Prisoner of Azkaban KeyGen and ???? Harry Potter und der Gefangene von Askaban ???? I Was An Atomic Mutant - ???? IGI-2 Covert Strike - ???? Impossible Creatures - ???? Ipswich Town Official Management Game - ???? Kazaa all ???? Microsoft Windows XP Professional ???? Nascar Racing 2003 Season ???? Nero Burning Rom ???? Nod32 ???? Norton AntiVirus 2004 Pro Activation Key & ???? Norton AntiVirus 2005 ???? Norton Internet Security 2004 Keygen & ???? Norton Internet Security 2004 Pro ???? Norton Internet Security 2005 Pro ???? Office XP Universal ???? Private Nurse - ???? Robot Arena Design And Destroy - ???? Serious Sam - Gold Edition - ???? Shadow of Memories - ???? Shrek 2 ???? Sim City 4 - ???? Slot City 3 ???? Spellforce - Breath of Winter ???? Spider-Man 2 ???? Symantec Antivirus 2005 ???? Symantec Internet Secutiy 2005 ???? Test Drive - ???? The Campaigns of La Grande Armee - ???? The Emperors Mahjong - ???? Tom Clancys Splinter Cell - ???? Tombstone 1882 - ???? Unreal II The Awakening - ???? WinACE ???? Windows Server 2003 ???? WinRAR 3 ???? WinZIP 9 ???? World Of Outlaws Sprint Car Racing 2002 - ???? Zone Alarm 5.0 pro ???? Donde "????" es una de las siguientes cadenas: Crack.exe Keygen.exe NoCD.exe Serial.exe Ejemplos: WinRAR 3 Keygen.exe World Of Outlaws Sprint Car Racing 2002 - Serial.exe Zone Alarm 5.0 pro NoCD.exe Todos son copias del gusano, pero en ocasiones se disfraza agregando más bytes al archivo (solo basura). Crea la siguiente entrada para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Ruby13 = c:\windows\system\[carpeta creada]\Ruby13.exe Crea luego las siguientes entradas en el registro de Windows, para compartir la carpeta creada con otros usuarios del KaZaa y del iMesh: HKCU\Software\Imesh\Client\LocalContent Dir0 = 012345:c:\windows\system\[carpeta creada] HKCU\Software\Kazaa\LocalContent Dir0 = 012345:c:\windows\system\[carpeta creada] HKCU\Software\Kazaa\Transfer DlDir0 = c:\windows\system\[carpeta creada] El gusano puede enviarse por correo electrónico usando su propio motor SMTP, en mensajes con las siguientes características: Asunto: [uno de los siguientes] - EBAY Information - Internet Information - Provider Information - VISA Information - Your Crack Texto del mensaje: [uno de los siguientes] - EBAY Installer... - Here is your crack! - New account data... - Security Tool... Datos adjuntos: [uno de los archivos copiados anteriormente] Las direcciones para enviarse, son extraídas de archivos de la máquina infectada que posean las siguientes extensiones: .dbx .doc .htm .rtf .sht .txt .wab El gusano evita direcciones que contengan cualquiera de las siguientes extensiones: admi host kasp micr newv root supp viru webm El gusano puede desplegar una ventana con el siguiente texto: Ruby V1.3, (c)BI 16.08.2004 Fight against MICROSOFT and make a virus! [ OK ] * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Deshabilitar las carpetas compartidas en iMesh 1. Ejecute iMesh 2. Seleccione "Options" del menú "Preferences". 3. En la ventana de "Category" seleccione "Share" y desmarque la casilla "Allow other users to view my shared files option". 4. Seleccione el menú "Media Manager" y busque en la lista de carpetas, todas las que tengan una casilla grisácea a la derecha del nombre. Márquelas para que dejen de estar grisáceas, y luego desmárquela para que quede en blanco. Repítalo con todas las carpetas y subcarpetas que allí encuentre. 5. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre la carpeta creada y su contenido: c:\windows\system\SYS32 c:\windows\system\SYSNET Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Imesh \Client \LocalContent 3. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Dir0 = 012345:c:\windows\system\[carpeta creada] 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Kazaa \LocalContent 5. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Dir0 = 012345:c:\windows\system\[carpeta creada] 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Kazaa \Transfer 7. Pinche en la carpeta "Transfer" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DlDir0 = c:\windows\system\[carpeta creada] 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 9. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Ruby13 10. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1532 Año 8, jueves 16 de setiembre de 2004