Mostrando mensaje 596     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1547 Año 8, viernes 1 de octubre de 2004 Fecha: Viernes, 1 de Octubre, 2004  02:34:34 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1547 Año 8, viernes 1 de octubre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Vulnerabilidad en pila TCP afecta a Windows y Linux 2 - ¿Virus contra los P2P? (Por Carlosues) 3 - W32/Mydoom.AC. Descarga y ejecuta otros archivos 4 - Adware.Adlogix. Modifica páginas de Inicio y búsqueda 5 - W32/Bugbear.L. Cierra antivirus, se envía por e-mail _____________________________________________________________ 1 - Vulnerabilidad en pila TCP afecta a Windows y Linux _____________________________________________________________ http://www.vsantivirus.com/vul-tcp-011004.htm Vulnerabilidad en pila TCP afecta a Windows y Linux Por Angela Ruiz angela@videosoft.net.uy Han sido reportadas como vulnerables a ataques de denegación de servicio (DoS), implementaciones de la pila de protocolos TCP proporcionadas por múltiples vendedores. TCP es un conjunto de protocolos que permiten el encaminamiento fragmentado de la información a través de Internet, mediante el envío y recepción de pequeños paquetes que se trasmiten en forma independiente. Los mismos protocolos se encargan de unir estos paquetes en el orden correcto para presentar la información completa. El descubridor de esta vulnerabilidad, ha apodado al tipo de ataque que puede aprovecharse de ella, como "New Dawn attack", una variación de un ataque reportado previamente y llamado "Rose Attack". El código fuente para implementar este exploit está disponible en la red. El problema puede presentarse debido a un ineficaz manejo de los paquetes fragmentados por la pila TCP, cuando se cumplen ciertas condiciones. La vulnerabilidad puede permitir a que un atacante remoto impacte seriamente en los recursos de una computadora que ejecute un producto afectado. Específicamente, el atacante puede explotar esta vulnerabilidad para denegar el servicio a una computadora vulnerable (hacer que la misma se bloquee y no responda al usuario). Ello ocurre al agotarse los recursos del procesador, debido al envío de una gran cantidad de pequeños paquetes TCP modificados de tal forma que no puedan ser armados correctamente, y al hecho de que el sistema lo intentará hacer una y otra vez. Son afectados Windows 2000 y XP (SP2 incluido), Linux kernel 2.4 (Caldera OpenLinux, RedHat, Mandrake, S.u.S.E., Slackware, Sun, Conectiva, Debian, Turbolinux, Gentoo, Devil- Linux y otros), y sistemas no revelados de Cisco. Otros productos no mencionados, también podrían estar afectados. No existen parches ni actualizaciones de ningún vendedor al momento actual. * Créditos: Gandalf The White <gandalf@digital.net> * Relacionados: IPv4 fragmentation --> The Rose Attack http://www.securityfocus.com/archive/1/376490 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - ¿Virus contra los P2P? (Por Carlosues) _____________________________________________________________ http://www.vsantivirus.com/cs-overpeer.htm ¿Virus contra los P2P? Por Carlosues carlosues@videosoft.net.uy A raíz de la publicación de las intenciones de la empresa anti-piratería Overpeer de expandir sus actividades a Europa, se ha producido cierto revuelo en determinados estamentos y asociaciones. Dicha compañía es famosa en EEUU por haber inundado la red P2P Kazaa con miles de archivos falsos y hay quien asegura que es responsable asimismo de que la citada red sea también la número uno en archivos con virus. Tal y como se lee en la noticia "La compañía anti-piratería Overpeer se expande en Europa", http://iblnews.com/news/noticia.php3?id=116451: "Overpeer dijo que comenzaría a vender sus servicios de contenidos engañosos a compañías de música europeas a través de una alianza con la firma británica de tecnología OD2. Overpeer y OD2 fueron adquiridas a comienzos de este año por Loudeye, con sede en Seattle." "La tecnología de Overpeer permite a los poseedores del copyright sembrar redes de intercambio como Kazaa con falsos archivos informáticos que parecen contener películas, canciones y software." "Ed Averdieck, director de marketing en OD2, dijo que Overpeer podía incluso remitir a usuarios de archivos compartidos a las páginas web oficiales de artistas o tiendas con la esperanza de que descarguen el producto autorizado." "Una serie de sellos han expresado su interés en esto", dijo Averdieck a Reuters." "Nuestros sistemas de propiedad y tecnología están diseñados para prevenir el tráfico ilegal de amigo a amigo, bloqueando trasmisiones ilegales de material y ayudar a los dueños de contenidos a controlar la piratería" De hecho se sabe a ciencia cierta que varios de los archivos maliciosos están siendo estudiados y analizados por grupos de hack, hacklabs y expertos en seguridad para tratar de averiguar si los archivos que contienen virus, también han podido ser introducidos por la misma empresa. Se basan en que dado que están dispuestos a perjudicar una red en defensa de sus intereses, ¿qué mejor manera que introducir virus para que la gente empiece a sentir miedo? Y lo cierto es que conociendo los "métodos preventivos" que se utilizan en EEUU no creemos que hagan mal en desconfiar. Estaremos atentos a cuantas noticias puedan producirse a éste respecto, defender la propiedad intelectual si, por supuesto que si, pero sin que ello deba perjudicar a terceros, el fin nunca justifica los medios aunque para algunos parezca que si. carlosues (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Mydoom.AC. Se propaga por e-mail y P2P _____________________________________________________________ http://www.vsantivirus.com/mydoom-ac.htm Nombre: W32/Mydoom.AC Tipo: Gusano de Internet y caballo de Troya Alias: Mydoom.AC, W32.Mydoom.AC@mm Fecha: 30/set/04 Plataforma: Windows 32-bit Tamaño: 18,768 bytes, 5,200 bytes Variante del Mydoom detectada el 30 de setiembre de 2004. Se propaga por correo electrónico. Los remitentes de los mensajes son falsos, generados con los siguientes componentes [Usuario]+[Dominio]: Donde [Usuario] es uno de los siguientes nombres: angela anthony barbara betty charles christopher cissi cynthia daniel david donald dorothy edward elizabeth emily ethan george hannah hans harris helen james jennifer john josefine joseph karen kevin kimberly lee len linda maria mark martin melissa michael nancy nicholas olivia patricia paul richard robert ronald sandra susan thomas william [Dominio] es el dominio del destinatario, o uno de los siguientes: @ aol .com @ hotmail .com @ msn .com @ yahoo .com El asunto del mensaje puede ser alguno de los siguientes: - Free Ernst Zundel - Hackers for Historical Truth - Hello, here is your information! - Holohoax information - Information about Holocaust - Jewish Holocaust, another lie - The Germar Rudolf Report - The holocaust is a lie El texto del mensaje puede ser alguno de los siguientes: 'Courage', the ability to recognizr an iniquitous thing and take action against it: www .vho .org Ten thousand museums, ten thousand 'survivor' eyewitness testimonies, ten thousand TV documentaries, ten thousand Hollywood movies and ten thousand newspaper and magazine articles would not make a lie a truth. See www .ihr .com If you are interested in the truth regarding the so- called Holocaust please see www .vho .org The Holocaust is an outright lie. Please see www .zundelsite .org for much more. The truth deserves to be known. El archivo adjunto, puede tener alguno de los siguientes nombres: body data document file holohoax-report info report text trusth Seguido de alguna de estas extensiones: .bat .cmd .exe .pif .scr Cuando se ejecuta, crea los siguientes archivos en el sistema infectado: c:\windows\system\winhook32.exe NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). Para autoejecutarse en cada reinicio, modifica las siguientes entradas en el registro: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices SystemWideHook for Windows NT = "c:\windows\system\winhook32.exe" HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\policies\Explorer Run = "winhook32.exe" El gusano se propaga por redes P2P como KaZaa, copiándose en la carpeta compartida con los siguientes nombres: GameCrack2005.exe Install.exe MSNCracker2005.exe Office2005.exe Setup.exe Windows_Activation.exe XP_Crack.exe El gusano evita enviar mensajes a cualquier dirección que en su nombre contenga algunas de las siguientes cadenas: .edu .gov .mil abuse accoun acketst admin anyone arin. avp berkeley borlan bsd bugs certific contact example fcnz feste fido foo. fsf. gnu gold-certs google gov. help hotmail iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math mit.e mozilla msn. mydomai nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho spm submit support syma tanford.e the.bat unix usenet utgers.ed webmaster www you your Las direcciones para el envío de los mensajes infectados, son tomadas de archivos seleccionados de diferentes carpetas de las unidades de discos de la C a la Z. Los archivos examinados, poseen las siguientes extensiones: .adb .asp .dbx .htm .php .pl .sht .tbb .txt .wab También genera direcciones al azar, usando nombres de dominio obtenidos de direcciones válidas. Para no ejecutarse más de una vez en memoria, utiliza el siguiente mutex: focDSJSODidvjfdsivraSDOSDoisdi Intenta realizar un ataque de denegación de servicio al siguiente sitio: www .holocaust-history .org * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \RunServices 3. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: SystemWideHook for Windows NT 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \policies \Explorer 5. Pinche en la carpeta "Explorer" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Run = "WinHook32.exe" 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Adware.Adlogix. Modifica páginas de Inicio y búsqueda _____________________________________________________________ http://www.vsantivirus.com/adlogix.htm Nombre: Adware.Adlogix Nombre Nod32: Win32/Adware.Adlogix Tipo: Parásito (Adware) Alias: Win32/Adware.Adlogix, AdLogix, AdLogix.InPop, Trojan.Win32.VB.ex, AdLogix.InPop, AdLogix.Zamingo Fecha: 30/set/04 Plataforma: Windows 32-bit Tamaño: variable Se trata de un adware agregado por algunos sitios, para controlar la visualización de su publicidad. Los cambios realizados en el sistema, comprometen el rendimiento general de la navegación. Se integra al Internet Explorer como un objeto del tipo BHO (Browser Helper Object), de modo que sus comunicaciones con el sitio que lo crea, no son interceptadas por el cortafuegos al ejecutarse como parte del propio navegador. Un objeto BHO es un DLL que se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos predeterminados. Se identifica en el registro con las siguientes clases ID: {024de5eb-3649-445e-8d57-c09a9a33d479} {0b90aa1b-f649-44c3-9fd3-736c332cbbcf} {7d49a157-a1eb-4538-8b0d-6ac430c92d0b} {f5192746-22d6-41bd-9d2d-1e75d14fbd3c} Este parásito, puede descargar los siguientes archivos en la máquina del usuario: inpop.inf inpop.ocx ipu.exe phelper.dll test.ocx * Cómo protegernos de los parásitos ¿Qué son los parásitos?. ¿Qué tipos de parásitos existen?. ¿Cómo llegan a nuestra computadora?. ¿Cómo protegernos de ellos?. Toda la información relacionada la encuentra en el siguiente artículo: Parásitos en nuestra computadora http://www.vsantivirus.com/ev-parasitos.htm También sugerimos la siguiente configuración para evitar la descarga y ejecución de esta clase de parásitos: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm * Procedimiento sugerido de limpieza NOTA: Eliminar este parásito, puede ocasionar que algunos de los programas que lo instalan, dejen de funcionar o no funcionen correctamente. 1. Cierre el Internet Explorer y cualquier otra ventana abierta 2. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter): regsvr32 /u phelper.dll 3. Se podría abrir una ventana del Internet Explorer, ciérrela. 4. Apague su computadora y aguarde cinco segundos por lo menos, antes de reiniciarla en modo a prueba de fallos, como se indica en el siguiente artículo: Cómo iniciar su computadora en Modo a prueba de fallos http://www.vsantivirus.com/faq-modo-fallo.htm 5. Desde modo a prueba de fallos, ejecute un antivirus actualizado para borrar todas las apariciones de este troyano. 6. Reinicie su computadora y vuelva a revisar su equipo con un antivirus al día. * Borrar los archivos creados por el parásito * En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), cada uno de los siguientes nombres de archivos: inpop.inf inpop.ocx ipu.exe phelper.dll test.ocx 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), cada uno de los siguientes nombres de archivos: inpop.inf inpop.ocx ipu.exe phelper.dll test.ocx 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Haga clic en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \clsid \{024de5eb-3649-445e-8d57-c09a9a33d479} 3. Borre la carpeta "{024de5eb-3649-445e-8d57-c09a9a33d479}" 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \ddm_download.ddm_control 5. Borre la carpeta "ddm_download.ddm_control" 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \software \microsoft \windows \currentversion \explorer \browser helper objects \{024de5eb-3649-445e-8d57-c09a9a33d479} 7. Borre la carpeta "{024de5eb-3649-445e-8d57-c09a9a33d479}" 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \typelib \{7d49a157-a1eb-4538-8b0d-6ac430c92d0b} 9. Borre la carpeta "{7d49a157-a1eb-4538-8b0d-6ac430c92d0b}" 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \clsid \{024de5eb-3649-445e-8d57-c09a9a33d479} 11. Borre la carpeta "{024de5eb-3649-445e-8d57-c09a9a33d479}" 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \software \microsoft \windows \currentversion \explorer \browser helper objects \{024de5eb-3649-445e-8d57-c09a9a33d479} 13. Borre la carpeta "{024de5eb-3649-445e-8d57-c09a9a33d479}" 14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \software \microsoft \windows \currentversion \moduleusage \c:/winnt/downloaded program files/test.ocx 15. Borre "c:/winnt/downloaded program files/test.ocx" o similar. 16. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \software \microsoft \windows \currentversion \shareddlls \c:\winnt\downloaded program files\test.ocx 17. Borre "c:/winnt/downloaded program files/test.ocx" o similar. 18. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \software \microsoft \windows \currentversion \explorer \browser helper objects \{0b90aa1b-f649-44c3-9fd3-736c332cbbcf} 19. Borre la carpeta "{0b90aa1b-f649-44c3-9fd3-736c332cbbcf}" 20. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \clsid \{f5192746-22d6-41bd-9d2d-1e75d14fbd3c} 21. Borre la carpeta "{f5192746-22d6-41bd-9d2d-1e75d14fbd3c}" 22. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \software \classes \clsid \{024de5eb-3649-445e-8d57-c09a9a33d479} 23. Borre la carpeta "{024de5eb-3649-445e-8d57-c09a9a33d479}" 24. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 25. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer 1. Cierre todas las ventanas del Internet Explorer abiertas 2. Seleccione "Mi PC", "Panel de control". 3. Haga clic en el icono "Opciones de Internet". 4. Seleccione la lengüeta "Programas". 5. Haga clic en el botón "Restablecer configuración Web" 6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI. 7. Haga clic en "Aceptar". * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual". * Cambiar las páginas de búsqueda del Internet Explorer 1. Inicie el Internet Explorer. 2. Haga clic en el botón "Búsqueda" de la barra de herramientas. 3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar". 4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant). 5. Haga clic en el botón "Reiniciar" (Reset). 6. Haga clic en el botón "Configuración de Autosearch" (Autosearch Settings). 7. Elija un proveedor de búsquedas en el menú (Search Provider). 8. Seleccione "Aceptar" hasta salir de todas las opciones. * Información adicional Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Bugbear.L. Cierra antivirus, se envía por e-mail _____________________________________________________________ http://www.vsantivirus.com/bugbear-l.htm Nombre: W32/Bugbear.L Nombre Nod32: Win32/Bugbear.L Tipo: Gusano de Internet Alias: Bugbear.L, Win32/Bugbear.L, W32/Bugbear-J, W32/Bugbear.j@MM Fecha: 30/set/04 Plataforma: Windows 32-bit Tamaño: 32,256 bytes (UPX) Gusano detectado el 30 de setiembre de 2004, que se propaga vía correo electrónico, utilizando su propio motor SMTP (Simple Mail Transfer Protocol). Utiliza direcciones de remitente falsificadas (obtenidas de la misma forma que las direcciones de los destinatarios). Cuando se ejecuta, el gusano crea una copia de si mismo con un nombre al azar en el directorio System de Windows: c:\windows\system\??????.EXE También crea archivos temporales en la carpeta TEMP: c:\windows\temp\????????.tmp c:\windows\temp\????????.tmp En todos los casos, "????????" son nombres al azar. NOTA 1: La ubicación de la carpeta System puede variar de acuerdo al sistema operativo instalado. "c:\windows\system" (por defecto) en Windows 9x/ME, "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003. NOTA 2: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [nombre al azar] = [nombre al azar].exe El [nombre al azar] consiste en 6 letras mayúsculas, por ejemplo: MHGFDJ = MHGFDJ.EXE Una vez activo, el gusano utiliza su propio motor SMTP para enviar copias de si mismo a través del correo electrónico, en mensajes construidos con asuntos y textos diferentes, seleccionados de una lista en su código, y con remitentes falsos. Los mensajes pueden tener alguno de los siguientes archivos adjuntos: a000032.jpg.scr girls.jpg.scr image.jpg.scr love.jpg.scr message.txt.scr music.mp3.scr myphoto.jpg.scr news.doc.scr photo.jpg.scr pic.jpg.scr readme.txt.scr song.wav.scr video.avi.scr you.jpg.scr Intenta finalizar cualquier proceso activo presente en la siguiente lista (ello incluye antivirus y cortafuegos): _avp32.exe _avpcc.exe _avpm.exe ackwin32.exe anti-trojan.exe apvxdwin.exe autodown.exe avconsol.exe ave32.exe avgctrl.exe avkserv.exe avnt.exe avp.exe avp32.exe avpcc.exe avpdos32.exe avpm.exe avptc32.exe avpupd.exe avsched32.exe avwin95.exe avwupd32.exe blackd.exe blackice.exe cfiadmin.exe cfiaudit.exe cfinet.exe cfinet32.exe claw95.exe claw95cf.exe cleaner.exe cleaner3.exe dvp95.exe dvp95_0.exe ecengine.exe esafe.exe espwatch.exe f-agnt95.exe findviru.exe fprot.exe f-prot.exe f-prot95.exe fp-win.exe frw.exe f-stopw.exe iamapp.exe iamserv.exe ibmasn.exe ibmavsp.exe icload95.exe icloadnt.exe icmon.exe icsupp95.exe icsuppnt.exe iface.exe iomon98.exe jedi.exe lockdown2000.exe lookout.exe luall.exe moolive.exe mpftray.exe n32scanw.exe navapw32.exe navlu32.exe navnt.exe navw32.exe navwnt.exe nisum.exe nmain.exe normist.exe nupgrade.exe nvc95.exe outpost.exe padmin.exe pavcl.exe pavsched.exe pavw.exe pccwin98.exe pcfwallicon.exe persfw.exe rav7.exe rav7win.exe rescue.exe safeweb.exe scan32.exe scan95.exe scanpm.exe scrscan.exe serv95.exe smc.exe sphinx.exe sweep95.exe tbscan.exe tca.exe tds2-98.exe tds2-nt.exe vet95.exe vettray.exe vscan40.exe vsecomr.exe vshwin32.exe vsstat.exe webscanx.exe wfindv32.exe zonealarm.exe * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Tome nota del nombre de los archivos encontrados como infectados. 4. Borre dichos archivos. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada (el nombre debe ser obtenido en el proceso anterior): [nombre al azar] = [nombre al azar] 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1547 Año 8, viernes 1 de octubre de 2004