Mostrando mensaje 625     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1576 Año 8, sábado 30 de octubre de 2004 Fecha: Sabado, 30 de Octubre, 2004  06:11:41 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1576 Año 8, sábado 30 de octubre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - El nuevo Bagle, detectado por la heurística de Nod32 2 - W32/Bagle.AU. Gusano de gran propagación (e-mail, P2P) 3 - W32/Bagle.AT. Gusano de gran propagación (e-mail, P2P) 4 - W32/Bagle.AS. Gusano de gran propagación (e-mail, P2P) _____________________________________________________________ 1 - El nuevo Bagle, detectado por la heurística de Nod32 _____________________________________________________________ http://www.vsantivirus.com/ev-29-10-04.htm El nuevo gusano Bagle, detectado por la heurística de Nod32 Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] El 29 de octubre, una epidemia masiva de una agresiva versión del gusano Bagle golpeó Internet, propagándose rápidamente e infectando miles de máquinas. A las 07:51 de esa mañana (CET, hora estándar de Europa Central), un nuevo virus fue detectado por Virus Radar (www.virus-radar.com). Inicialmente, alrededor de 50 muestras fueron obtenidas en la primera hora, pero pronto llegó a ser obvio que la extensión sería masiva. En la segunda hora, se detectaron más de 3400 muestras, y el análisis adicional mostró que se trataba de una nueva versión, sumamente agresiva, del gusano Bagle, denominada por NOD32 como Win32/Bagle.AS. Más tarde, dos nuevas variantes fueron descubiertas (Bagle.AT y Bagle.AU), todas ellas detectadas desde el principio por la Heurística Avanzada de NOD32. Bagle.AU parece propagarse también masivamente. Menos de 2 horas después del descubrimiento heurístico, a las 09:40 (CET), una actualización del antivirus fue liberada para proporcionar la exacta identificación y eliminación para cada variante, y una descripción fue publicada. "La proliferación masiva del nuevo gusano, probablemente se deba a que posee su propia rutina de envío masivo. Cuándo el gusano está activo en una computadora infectada, intentará detener algunas aplicaciones antivirus y cortafuegos que se ejecuten en la máquina, aumentando con esto las oportunidades de supervivencia, ya que algunos productos no podrán actualizarse, y no lo identificarán", dijo Andrew Lee, Vicepresidente de Apoyo Global en Eset. Win32/Bagle causa una infracción grave de la seguridad abriendo el puerto 81 en la computadora y un puerto aleatorio de UDP, y queda a la escucha de las instrucciones que le serán enviadas. El gusano se desactivará automáticamente en una computadora infectada, después de estar activo y causar daño por 20 días. Basado en el análisis del código, el ciclo vital del gusano terminará el 25 de abril de 2006. Un herramienta de limpieza para el gusano está disponible en el siguiente enlace: http://www.vsantivirus.com/bagle-as.htm Rastreando esta amenaza en Virus Radar, se observa el rápido crecimiento de este gusano, horas después del descubrimiento inicial con la heurística de NOD32: 29.10.2004 07:00 53 29.10.2004 08:00 3409 29.10.2004 09:00 11235 29.10.2004 10:00 30424 29.10.2004 11:00 74236 Actualmente, Virus Radar muestra que alrededor de 1 de cada 20 mensajes, contiene el gusano Win32/Bagle.AS. Esta mañana, se recibieron las noticias de que NOD32 había obtenido su vigésimo noveno premio Virus Bulletin, un record no logrado por ningún otro antivirus, por detectar todos los virus existentes "In The Wild" (o sea activos). Las excepcionales capacidades heurísticas avanzadas de NOD32, que en última medida, podrían detectar más del 88% de todos los virus en la calle, sin la necesidad de una actualización, son una parte importante de ese éxito. * Relacionados: W32/Bagle.AU. Gusano de gran propagación (e-mail, P2P) http://www.vsantivirus.com/bagle-au.htm W32/Bagle.AT. Gusano de gran propagación (e-mail, P2P) http://www.vsantivirus.com/bagle-at.htm W32/Bagle.AS. Gusano de gran propagación (e-mail, P2P) http://www.vsantivirus.com/bagle-as.htm (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: www.enciclopediavirus.com/noticias/verNoticia.php?id=495 Nota: En Uruguay, NOD32 es distribuido en forma exclusiva por Video Soft, empresa que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios. Acerca de Eset Fundada en 1992 y con oficinas centrales en San Diego, California, Estados Unidos, Eset es una compañía global de soluciones de software de seguridad que provee protección de última generación contra virus informáticos. El premiado producto antivirus de Eset, NOD32, asegura el máximo desempeño de su red, detección mediante heurística avanzada, y soporte mundial gratuito. NOD32 les da a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una mayor productividad, bajo tiempo ocupado, y un uso mínimo de los recursos. NOD32 mantiene más premios Virus Bulletin 100% que ningún otro producto antivirus disponible, detectando consistentemente todos los virus activos ("in-the-wild") sin falsos positivos. El trabajo de Eset con grandes corporaciones como Canon, Dell y Microsoft le ha permitido entrar en el Fast 500 de Deloitte Technology por dos años consecutivos. Eset es una compañía privada con oficinas en San Diego (Estados Unidos), Londres (Reino Unido), Praga (República Checa) y Bratislava (Eslovaquia). Para más información, visite www.nod32.com Nod32 Uruguay http://www.nod32.videosoft.net.uy/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Bagle.AU. Gusano de gran propagación (e-mail, P2P) _____________________________________________________________ http://www.vsantivirus.com/bagle-au.htm Nombre: W32/Bagle.AU Nombre Nod32: Win32/Bagle.AU Tipo: Gusano de Internet Alias: Bagle.AU, Bagle.AU, Win32/Bagle.AU, W32.Beagle.AV@mm, Win32.Bagle.AQ, Bagle.BC, WORM_BAGLE.AT, Bagle.AT, W32/Bagle.AQ@mm, W32/Bagle.bb@mm, W32/Bagle-AV Fecha: 29/oct/04 Plataforma: Windows 32-bit Tamaño: variable Puertos: TCP 81 Gusano de gran propagación, detectado el 29 de octubre de 2004. Utiliza el correo electrónico y las redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.) Utiliza varios mutex para prevenir que otros gusanos puedan ejecutarse. Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso. Posee un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos. Intenta descargar archivos de numerosos sitios de Internet. Actualmente ninguno de esos sitios funciona. Los mensajes que utiliza para su propagación tienen las siguientes características: De: [una dirección falsa] Asunto: [uno de los siguientes] - Re: - Re: Hello - Re: Hi - Re: Thank you! - Re: Thanks :) Texto del mensaje: [uno de los siguientes] - :) - :)) Datos adjuntos: [uno de los siguientes] Price price Joke Dicho nombre, puede tener alguna de las siguientes extensiones: .exe .scr .com .cpl Cuando se propaga como un archivo .CPL (Windows Control Panel Applet), el gusano agrega al comienzo del mismo, un pequeño dropper. Cuando el CPL es activado se copia a si mismo como CJECTOR.EXE en la carpeta de Windows, y luego libera el archivo del gusano en la carpeta del sistema: c:\windows\cjector.exe En todos los casos, los iconos que identifican a los archivos adjuntos varían cada vez (archivos de imágenes, música, etc.). Cuando se ejecuta, crea los siguiente archivos en la carpeta System de Windows: c:\windows\system\wingo.exe c:\windows\system\wingo.exeopen c:\windows\system\wingo.exeopenopen NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wingo = c:\windows\system\wingo.exe Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml Ignora direcciones de correo que contengan las siguientes cadenas: @avp. @foo @hotmail @iana @messagelab @microsoft @msn abuse admin anyone@ bsd bugs@ cafee certific contract@ f-secur feste free-av gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support unix update winrar winzip El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres: ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0 KAV 5.0 Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe Intenta descargar de los siguientes sitios de Internet, un archivo llamado "G.JPG": http:/ /www .24-7-transportation .com http:/ /www .adhdtests .com http:/ /www .aegee .org http:/ /www .aimcenter .net http:/ /www .alupass .lu http:/ /www .amanit .ru http:/ /www .andara .com http:/ /www .angelartsanctuary .com http:/ /www .anthonyflanagan .com http:/ /www .approved1stmortgage .com http:/ /www .argontech .net http:/ /www .asianfestival .nl http:/ /www .atlantisteste .hpg .com .br http:/ /www .aviation-center .de http:/ /www .bbsh .org http:/ /www .bga-gsm .ru http:/ /www .boneheadmusic .com http:/ /www .bottombouncer .com http:/ /www .bradster .com http:/ /www .buddyboymusic .com http:/ /www .bueroservice-it .de http:/ /www .calderwoodinn .com http:/ /www .capri-frames .de http:/ /www .celula .com .mx http:/ /www .ceskyhosting .cz http:/ /www .cntv .info http:/ /www .compsolutionstore .com http:/ /www .coolfreepages .com http:/ /www .corpsite .com http:/ /www .couponcapital .net http:/ /www .cpc .adv .br http:/ /www .crystalrose .ca http:/ /www .cscliberec .cz http:/ /www .curtmarsh .com http:/ /www .customloyal .com http:/ /www .chinasenfa .com http:/ /www .DarrkSydebaby .com http:/ /www .deadrobot .com http:/ /www .dontbeaweekendparent .com http:/ /www .dragcar .com http:/ /www .ecofotos .com .br http:/ /www .elenalazar .com http:/ /www .ellarouge .com .au http:/ /www .esperanzaparalafamilia .com http:/ /www .eurostavba .sk http:/ /www .everett .wednet .edu http:/ /www .fcpages .com http:/ /www .featech .com http:/ /www .fepese .ufsc .br http:/ /www .firstnightoceancounty .org http:/ /www .flashcorp .com http:/ /www .fleigutaetscher .ch http:/ /www .fludir .is http:/ /www .freeservers .com http:/ /www .FritoPie .NET http:/ /www .gamp .pl http:/ /www .gci-bln .de http:/ /www .gcnet .ru http:/ /www .generationnow .net http:/ /www .gfn .org http:/ /www .giantrevenue .com http:/ /www .glass .la http:/ /www .handsforhealth .com http:/ /www .hartacorporation .com http:/ /www .himpsi .org http:/ /www .idb-group .net http:/ /www .immonaut .sk http:/ /www .ims-i .com http:/ /www .innnewport .com http:/ /www .irakli .org http:/ /www .irinaswelt .de http:/ /www .jansenboiler .com http:/ /www .jasnet .pl http:/ /www .jhaforpresident .7p .com http:/ /www .jimvann .com http:/ /www .jldr .ca http:/ /www .justrepublicans .com http:/ /www .kencorbett .com http:/ /www .knicks .nl http:/ /www .kps4parents .com http:/ /www .kps4parents .com http:/ /www .kradtraining .de http:/ /www .kranenberg .de http:/ /www .kranenberg .de http:/ /www .lasermach .com http:/ /www .leonhendrix .com http:/ /www .magicbottle .com .tw http:/ /www .mass-i .kiev .ua http:/ /www .mepbisu .de http:/ /www .mepmh .de http:/ /www .metal .pl http:/ /www .mexis .com http:/ /www .mongolische-renner .de http:/ /www .mtfdesign .com http:/ /www .oboe-online .com http:/ /www .ohiolimo .com http:/ /www .onepositiveplace .org http:/ /www .oohlala-kirkland .com http:/ /www .orari .net http:/ /www .pankration .com http:/ /www .pe-sh .com http:/ /www .pfadfinder-leobersdorf .com http:/ /www .pipni .cz http:/ /www .polizeimotorrad .de http:/ /www .programmierung2000 .de http:/ /www .pyrlandia-boogie .pl http:/ /www .raecoinc .com http:/ /www .realgps .com http:/ /www .redlightpictures .com http:/ /www .reliance-yachts .com http:/ /www .relocationflorida .com http:/ /www .rentalstation .com http:/ /www .rieraquadros .com .br http:/ /www .scanex-medical .fi http:/ /www .sea .bz .it http:/ /www .selu .edu http:/ /www .sigi .lu http:/ /www .sljinc .com http:/ /www .sljinc .com http:/ /www .smacgreetings .com http:/ /www .soloconsulting .com http:/ /www .spadochron .pl http:/ /www .srg-neuburg .de http:/ /www .ssmifc .ca http:/ /www .sugardas .lt http:/ /www .sunassetholdings .com http:/ /www .szantomierz .art .pl http:/ /www .the-fabulous-lions .de http:/ /www .tivogoddess .com http:/ /www .tkd2xcell .com http:/ /www .topko .sk http:/ /www .transportation .gov .bh http:/ /www .travelchronic .de http:/ /www .traverse .com http:/ /www .uhcc .com http:/ /www .ulpiano .org http:/ /www .uslungiarue .it http:/ /www .vandermost .de http:/ /www .vbw .info http:/ /www .velezcourtesymanagement .com http:/ /www .velocityprint .com http:/ /www .vikingpc .pl http:/ /www .vinirforge .com http:/ /www .wecompete .com http:/ /www .worest .com .ar http:/ /www .woundedshepherds .com http:/ /www .wwwebad .com http:/ /www .wwwebmaster .com Posee algunas características de troyano de acceso remoto. Abre los puertos TCP 81 y un puerto UDP al azar y queda a la espera de instrucciones. El código de este troyano está encriptado con una contraseña. El autor del gusano o quien conozca dicha clave, podrá conectarse a la computadora infectada y ejecutar cualquier clase de programa. Las computadoras infectadas se reportan al autor, al acceder a numerosas direcciones de Internet predefinidas en su código. El gusano intenta descargar y ejecutar un archivo de esas direcciones. El archivo descargado, es grabado en la siguiente ubicación y con el siguiente nombre: c:\windows\system\re_file.exe Actualmente, ninguna de esas direcciones está activa. Mientras se está ejecutando, el gusano intenta finalizar los siguientes procesos: alogserv.exe apvxdwin.exe atupdater.exe atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avengine.exe avpupd.exe avsynmgr.exe avwupd32.exe avxquar.exe avxquar.exe bawindo.exe blackd.exe ccapp.exe ccevtmgr.exe ccproxy.exe ccpxysvc.exe cfiaudit.exe defwatch.exe drwebupw.exe escanh95.exe escanhnt.exe firewall.exe frameworkservice.exe icssuppnt.exe icsupp95.exe luall.exe lucoms~1.exe mcagent.exe mcshield.exe mcupdate.exe mcvsescn.exe mcvsrte.exe mcvsshld.exe navapsvc.exe navapsvc.exe navapsvc.exe navapw32.exe nisum.exe nopdb.exe nprotect.exe nprotect.exe nupgrade.exe nupgrade.exe outpost.exe pavfires.exe pavproxy.exe pavsrv50.exe rtvscan.exe rulaunch.exe savscan.exe shstat.exe sndsrvc.exe symlcsvc.exe update.exe updaterui.exe vshwin32.exe vsstat.exe vstskmgr.exe El gusano borra en las claves "HKCU\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run" y "HKLM\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run" del registro, cualquier entrada que contenga alguna de las siguientes cadenas: 9XHtProtect Antivirus EasyAV FirewallSvr HtProtect ICQ Net ICQNet Jammer2nd KasperskyAVEng MsInfo My AV NetDy Norton Antivirus AV PandaAVEngine service SkynetsRevenge Special Firewall Service SysMonXP Tiny AV Zone Labs Client Ex El gusano deja de funcionar 20 días después de instalarse en una computadora, y ya no se ejecutará después del 25 de abril de 2006. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos (no todos ellos pueden estar presentes): c:\windows\cjector.exe c:\windows\system\wingo.exe c:\windows\system\wingo.exeopen c:\windows\system\wingo.exeopenopen c:\windows\system\re_file.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: wingo 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Bagle.AT. Gusano de gran propagación (e-mail, P2P) _____________________________________________________________ http://www.vsantivirus.com/bagle-at.htm Nombre: W32/Bagle.AT Nombre Nod32: Win32/Bagle.AT Tipo: Gusano de Internet Alias: Bagle.AT, Bagle.AT, Win32/Bagle.AT, W32.Beagle.AU@mm, Win32.Bagle.AP, W32/Bagle.bc, I-Worm.Bagle.au, W32/Bagle.bc@MM, W32/Bagle-AV Fecha: 29/oct/04 Plataforma: Windows 32-bit Tamaño: 17,412 bytes Puertos: TCP 81 Gusano de gran propagación, detectado el 29 de octubre de 2004. Utiliza el correo electrónico y las redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.) Utiliza varios mutex para prevenir que otros gusanos puedan ejecutarse. Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso. Posee un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos. Intenta descargar archivos de numerosos sitios de Internet. Actualmente ninguno de esos sitios funciona. Los mensajes que utiliza para su propagación tienen las siguientes características: De: [una dirección falsa] Asunto: [uno de los siguientes] - Re: - Re: Hello - Re: Hi - Re: Thank you! - Re: Thanks :) Texto del mensaje: [uno de los siguientes] - :) - :)) Datos adjuntos: [uno de los siguientes] Price price Joke Dicho nombre, puede tener alguna de las siguientes extensiones: .exe .scr .com .cpl Cuando se propaga como un archivo .CPL (Windows Control Panel Applet), el gusano agrega al comienzo del mismo, un pequeño dropper. Cuando el CPL es activado se copia a si mismo como CJECTOR.EXE en la carpeta de Windows, y luego libera el archivo del gusano en la carpeta del sistema: c:\windows\cjector.exe En todos los casos, los iconos que identifican a los archivos adjuntos varían cada vez (archivos de imágenes, música, etc.). Cuando se ejecuta, crea los siguiente archivos en la carpeta System de Windows: c:\windows\system\bawindo.exe c:\windows\system\bawindo.exeopen c:\windows\system\bawindo.exeopenopen NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run bawindo = c:\windows\system\bawindo.exe Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml Ignora direcciones de correo que contengan las siguientes cadenas: @avp. @foo @hotmail @iana @messagelab @microsoft @msn abuse admin anyone@ bsd bugs@ cafee certific contract@ f-secur feste free-av gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support unix update winrar winzip El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres: ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0 KAV 5.0 Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe Intenta descargar de los siguientes sitios de Internet, un archivo llamado "G.JPG": http:/ /www .24-7-transportation .com http:/ /www .adhdtests .com http:/ /www .aegee .org http:/ /www .aimcenter .net http:/ /www .alupass .lu http:/ /www .amanit .ru http:/ /www .andara .com http:/ /www .angelartsanctuary .com http:/ /www .anthonyflanagan .com http:/ /www .approved1stmortgage .com http:/ /www .argontech .net http:/ /www .asianfestival .nl http:/ /www .atlantisteste .hpg .com .br http:/ /www .aviation-center .de http:/ /www .bbsh .org http:/ /www .bga-gsm .ru http:/ /www .boneheadmusic .com http:/ /www .bottombouncer .com http:/ /www .bradster .com http:/ /www .buddyboymusic .com http:/ /www .bueroservice-it .de http:/ /www .calderwoodinn .com http:/ /www .capri-frames .de http:/ /www .celula .com .mx http:/ /www .ceskyhosting .cz http:/ /www .cntv .info http:/ /www .compsolutionstore .com http:/ /www .coolfreepages .com http:/ /www .corpsite .com http:/ /www .couponcapital .net http:/ /www .cpc .adv .br http:/ /www .crystalrose .ca http:/ /www .cscliberec .cz http:/ /www .curtmarsh .com http:/ /www .customloyal .com http:/ /www .chinasenfa .com http:/ /www .DarrkSydebaby .com http:/ /www .deadrobot .com http:/ /www .dontbeaweekendparent .com http:/ /www .dragcar .com http:/ /www .ecofotos .com .br http:/ /www .elenalazar .com http:/ /www .ellarouge .com .au http:/ /www .esperanzaparalafamilia .com http:/ /www .eurostavba .sk http:/ /www .everett .wednet .edu http:/ /www .fcpages .com http:/ /www .featech .com http:/ /www .fepese .ufsc .br http:/ /www .firstnightoceancounty .org http:/ /www .flashcorp .com http:/ /www .fleigutaetscher .ch http:/ /www .fludir .is http:/ /www .freeservers .com http:/ /www .FritoPie .NET http:/ /www .gamp .pl http:/ /www .gci-bln .de http:/ /www .gcnet .ru http:/ /www .generationnow .net http:/ /www .gfn .org http:/ /www .giantrevenue .com http:/ /www .glass .la http:/ /www .handsforhealth .com http:/ /www .hartacorporation .com http:/ /www .himpsi .org http:/ /www .idb-group .net http:/ /www .immonaut .sk http:/ /www .ims-i .com http:/ /www .innnewport .com http:/ /www .irakli .org http:/ /www .irinaswelt .de http:/ /www .jansenboiler .com http:/ /www .jasnet .pl http:/ /www .jhaforpresident .7p .com http:/ /www .jimvann .com http:/ /www .jldr .ca http:/ /www .justrepublicans .com http:/ /www .kencorbett .com http:/ /www .knicks .nl http:/ /www .kps4parents .com http:/ /www .kps4parents .com http:/ /www .kradtraining .de http:/ /www .kranenberg .de http:/ /www .kranenberg .de http:/ /www .lasermach .com http:/ /www .leonhendrix .com http:/ /www .magicbottle .com .tw http:/ /www .mass-i .kiev .ua http:/ /www .mepbisu .de http:/ /www .mepmh .de http:/ /www .metal .pl http:/ /www .mexis .com http:/ /www .mongolische-renner .de http:/ /www .mtfdesign .com http:/ /www .oboe-online .com http:/ /www .ohiolimo .com http:/ /www .onepositiveplace .org http:/ /www .oohlala-kirkland .com http:/ /www .orari .net http:/ /www .pankration .com http:/ /www .pe-sh .com http:/ /www .pfadfinder-leobersdorf .com http:/ /www .pipni .cz http:/ /www .polizeimotorrad .de http:/ /www .programmierung2000 .de http:/ /www .pyrlandia-boogie .pl http:/ /www .raecoinc .com http:/ /www .realgps .com http:/ /www .redlightpictures .com http:/ /www .reliance-yachts .com http:/ /www .relocationflorida .com http:/ /www .rentalstation .com http:/ /www .rieraquadros .com .br http:/ /www .scanex-medical .fi http:/ /www .sea .bz .it http:/ /www .selu .edu http:/ /www .sigi .lu http:/ /www .sljinc .com http:/ /www .sljinc .com http:/ /www .smacgreetings .com http:/ /www .soloconsulting .com http:/ /www .spadochron .pl http:/ /www .srg-neuburg .de http:/ /www .ssmifc .ca http:/ /www .sugardas .lt http:/ /www .sunassetholdings .com http:/ /www .szantomierz .art .pl http:/ /www .the-fabulous-lions .de http:/ /www .tivogoddess .com http:/ /www .tkd2xcell .com http:/ /www .topko .sk http:/ /www .transportation .gov .bh http:/ /www .travelchronic .de http:/ /www .traverse .com http:/ /www .uhcc .com http:/ /www .ulpiano .org http:/ /www .uslungiarue .it http:/ /www .vandermost .de http:/ /www .vbw .info http:/ /www .velezcourtesymanagement .com http:/ /www .velocityprint .com http:/ /www .vikingpc .pl http:/ /www .vinirforge .com http:/ /www .wecompete .com http:/ /www .worest .com .ar http:/ /www .woundedshepherds .com http:/ /www .wwwebad .com http:/ /www .wwwebmaster .com Posee algunas características de troyano de acceso remoto. Abre los puertos TCP 81 y un puerto UDP al azar y queda a la espera de instrucciones. El código de este troyano está encriptado con una contraseña. El autor del gusano o quien conozca dicha clave, podrá conectarse a la computadora infectada y ejecutar cualquier clase de programa. Las computadoras infectadas se reportan al autor, al acceder a numerosas direcciones de Internet predefinidas en su código. El gusano intenta descargar y ejecutar un archivo de esas direcciones. El archivo descargado, es grabado en la siguiente ubicación y con el siguiente nombre: c:\windows\system\re_file.exe Actualmente, ninguna de esas direcciones está activa. Mientras se está ejecutando, el gusano intenta finalizar los siguientes procesos: alogserv.exe apvxdwin.exe atupdater.exe atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avengine.exe avpupd.exe avsynmgr.exe avwupd32.exe avxquar.exe avxquar.exe bawindo.exe blackd.exe ccapp.exe ccevtmgr.exe ccproxy.exe ccpxysvc.exe cfiaudit.exe defwatch.exe drwebupw.exe escanh95.exe escanhnt.exe firewall.exe frameworkservice.exe icssuppnt.exe icsupp95.exe luall.exe lucoms~1.exe mcagent.exe mcshield.exe mcupdate.exe mcvsescn.exe mcvsrte.exe mcvsshld.exe navapsvc.exe navapsvc.exe navapsvc.exe navapw32.exe nisum.exe nopdb.exe nprotect.exe nprotect.exe nupgrade.exe nupgrade.exe outpost.exe pavfires.exe pavproxy.exe pavsrv50.exe rtvscan.exe rulaunch.exe savscan.exe shstat.exe sndsrvc.exe symlcsvc.exe update.exe updaterui.exe vshwin32.exe vsstat.exe vstskmgr.exe El gusano borra en las claves "HKCU\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run" y "HKLM\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run" del registro, cualquier entrada que contenga alguna de las siguientes cadenas: 9XHtProtect Antivirus EasyAV FirewallSvr HtProtect ICQ Net ICQNet Jammer2nd KasperskyAVEng MsInfo My AV NetDy Norton Antivirus AV PandaAVEngine service SkynetsRevenge Special Firewall Service SysMonXP Tiny AV Zone Labs Client Ex El gusano deja de funcionar 20 días después de instalarse en una computadora, y ya no se ejecutará después del 25 de abril de 2006. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos (no todos ellos pueden estar presentes): c:\windows\cjector.exe c:\windows\system\bawindo.exe c:\windows\system\bawindo.exeopen c:\windows\system\bawindo.exeopenopen c:\windows\system\re_file.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: bawindo 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Bagle.AS. Gusano de gran propagación (e-mail, P2P) _____________________________________________________________ http://www.vsantivirus.com/bagle-as.htm Nombre: W32/Bagle.AS Nombre Nod32: Win32/Bagle.AS Tipo: Gusano de Internet Alias: Bagle.AS, Bagle.AT, Bagle.BC, Beagle.AS, Bagle.AQ@mm, I-Worm.Bagle.at, W32.Beagle.AT@mm, W32.Beagle.AU@mm, W32.Beagle.AW@mm, W32/Bagle.AP@mm, W32/Bagle.bb@mm, W32/Bagle.bc, W32/Bagle.BC.worm, W32/Bagle.bc@MM, W32/Bagle- AU, Win32.Bagle.AP, Win32.Bagle.AQ, Win32.Bagle.AR, Win32/Bagle.AS, WORM_BAGLE.AT Fecha: 29/oct/04 Plataforma: Windows 32-bit Tamaño: 19,694 bytes Puertos: TCP 81 Gusano de gran propagación, detectado el 29 de octubre de 2004. Utiliza el correo electrónico y las redes P2P, copiándose en carpetas utilizadas por varios de esos programas para compartir archivos con otros usuarios (KaZaa, Bearshare, Limewire, etc.) Utiliza varios mutex para prevenir que otros gusanos puedan ejecutarse. Puede enviarse a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada. En todos los casos el remitente que figura en el mensaje es falso. Posee un componente de acceso por puerta trasera (backdoor), y además finaliza la ejecución de varios antivirus y cortafuegos. Intenta descargar archivos de numerosos sitios de Internet. Actualmente ninguno de esos sitios funciona. Los mensajes que utiliza para su propagación tienen las siguientes características: De: [una dirección falsa] Asunto: [uno de los siguientes] - Re: - Re: Hello - Re: Hi - Re: Thank you! - Re: Thanks :) Texto del mensaje: [uno de los siguientes] - :) - :)) Datos adjuntos: [uno de los siguientes] Price price Joke Dicho nombre, puede tener alguna de las siguientes extensiones: .exe .scr .com .cpl Cuando se propaga como un archivo .CPL (Windows Control Panel Applet), el gusano agrega al comienzo del mismo, un pequeño dropper. Cuando el CPL es activado se copia a si mismo como CJECTOR.EXE en la carpeta de Windows, y luego libera el archivo del gusano en la carpeta del sistema: c:\windows\cjector.exe En todos los casos, los iconos que identifican a los archivos adjuntos varían cada vez (archivos de imágenes, música, etc.). Cuando se ejecuta, crea los siguiente archivos en la carpeta System de Windows: c:\windows\system\wingo.exe c:\windows\system\wingo.exeopen c:\windows\system\wingo.exeopenopen NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wingo = c:\windows\system\wingo.exe Las direcciones que utiliza para propagarse, son obtenidas de archivos de la máquina infectada con las siguientes extensiones: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml Ignora direcciones de correo que contengan las siguientes cadenas: @avp. @foo @hotmail @iana @messagelab @microsoft @msn abuse admin anyone@ bsd bugs@ cafee certific contract@ f-secur feste free-av gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support unix update winrar winzip El gusano también se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", lo que incluye a la mayoría de las carpetas compartidas de programas de intercambio de archivos entre usuarios. De ese modo puede propagarse por las redes P2P, y para ello utiliza los siguientes nombres: ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0 KAV 5.0 Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe Intenta descargar de los siguientes sitios de Internet, un archivo llamado "G.JPG": http:/ /www .24-7-transportation .com http:/ /www .adhdtests .com http:/ /www .aegee .org http:/ /www .aimcenter .net http:/ /www .alupass .lu http:/ /www .amanit .ru http:/ /www .andara .com http:/ /www .angelartsanctuary .com http:/ /www .anthonyflanagan .com http:/ /www .approved1stmortgage .com http:/ /www .argontech .net http:/ /www .asianfestival .nl http:/ /www .atlantisteste .hpg .com .br http:/ /www .aviation-center .de http:/ /www .bbsh .org http:/ /www .bga-gsm .ru http:/ /www .boneheadmusic .com http:/ /www .bottombouncer .com http:/ /www .bradster .com http:/ /www .buddyboymusic .com http:/ /www .bueroservice-it .de http:/ /www .calderwoodinn .com http:/ /www .capri-frames .de http:/ /www .celula .com .mx http:/ /www .ceskyhosting .cz http:/ /www .cntv .info http:/ /www .compsolutionstore .com http:/ /www .coolfreepages .com http:/ /www .corpsite .com http:/ /www .couponcapital .net http:/ /www .cpc .adv .br http:/ /www .crystalrose .ca http:/ /www .cscliberec .cz http:/ /www .curtmarsh .com http:/ /www .customloyal .com http:/ /www .chinasenfa .com http:/ /www .DarrkSydebaby .com http:/ /www .deadrobot .com http:/ /www .dontbeaweekendparent .com http:/ /www .dragcar .com http:/ /www .ecofotos .com .br http:/ /www .elenalazar .com http:/ /www .ellarouge .com .au http:/ /www .esperanzaparalafamilia .com http:/ /www .eurostavba .sk http:/ /www .everett .wednet .edu http:/ /www .fcpages .com http:/ /www .featech .com http:/ /www .fepese .ufsc .br http:/ /www .firstnightoceancounty .org http:/ /www .flashcorp .com http:/ /www .fleigutaetscher .ch http:/ /www .fludir .is http:/ /www .freeservers .com http:/ /www .FritoPie .NET http:/ /www .gamp .pl http:/ /www .gci-bln .de http:/ /www .gcnet .ru http:/ /www .generationnow .net http:/ /www .gfn .org http:/ /www .giantrevenue .com http:/ /www .glass .la http:/ /www .handsforhealth .com http:/ /www .hartacorporation .com http:/ /www .himpsi .org http:/ /www .idb-group .net http:/ /www .immonaut .sk http:/ /www .ims-i .com http:/ /www .innnewport .com http:/ /www .irakli .org http:/ /www .irinaswelt .de http:/ /www .jansenboiler .com http:/ /www .jasnet .pl http:/ /www .jhaforpresident .7p .com http:/ /www .jimvann .com http:/ /www .jldr .ca http:/ /www .justrepublicans .com http:/ /www .kencorbett .com http:/ /www .knicks .nl http:/ /www .kps4parents .com http:/ /www .kps4parents .com http:/ /www .kradtraining .de http:/ /www .kranenberg .de http:/ /www .kranenberg .de http:/ /www .lasermach .com http:/ /www .leonhendrix .com http:/ /www .magicbottle .com .tw http:/ /www .mass-i .kiev .ua http:/ /www .mepbisu .de http:/ /www .mepmh .de http:/ /www .metal .pl http:/ /www .mexis .com http:/ /www .mongolische-renner .de http:/ /www .mtfdesign .com http:/ /www .oboe-online .com http:/ /www .ohiolimo .com http:/ /www .onepositiveplace .org http:/ /www .oohlala-kirkland .com http:/ /www .orari .net http:/ /www .pankration .com http:/ /www .pe-sh .com http:/ /www .pfadfinder-leobersdorf .com http:/ /www .pipni .cz http:/ /www .polizeimotorrad .de http:/ /www .programmierung2000 .de http:/ /www .pyrlandia-boogie .pl http:/ /www .raecoinc .com http:/ /www .realgps .com http:/ /www .redlightpictures .com http:/ /www .reliance-yachts .com http:/ /www .relocationflorida .com http:/ /www .rentalstation .com http:/ /www .rieraquadros .com .br http:/ /www .scanex-medical .fi http:/ /www .sea .bz .it http:/ /www .selu .edu http:/ /www .sigi .lu http:/ /www .sljinc .com http:/ /www .sljinc .com http:/ /www .smacgreetings .com http:/ /www .soloconsulting .com http:/ /www .spadochron .pl http:/ /www .srg-neuburg .de http:/ /www .ssmifc .ca http:/ /www .sugardas .lt http:/ /www .sunassetholdings .com http:/ /www .szantomierz .art .pl http:/ /www .the-fabulous-lions .de http:/ /www .tivogoddess .com http:/ /www .tkd2xcell .com http:/ /www .topko .sk http:/ /www .transportation .gov .bh http:/ /www .travelchronic .de http:/ /www .traverse .com http:/ /www .uhcc .com http:/ /www .ulpiano .org http:/ /www .uslungiarue .it http:/ /www .vandermost .de http:/ /www .vbw .info http:/ /www .velezcourtesymanagement .com http:/ /www .velocityprint .com http:/ /www .vikingpc .pl http:/ /www .vinirforge .com http:/ /www .wecompete .com http:/ /www .worest .com .ar http:/ /www .woundedshepherds .com http:/ /www .wwwebad .com http:/ /www .wwwebmaster .com Posee algunas características de troyano de acceso remoto. Abre los puertos TCP 81 y un puerto UDP al azar y queda a la espera de instrucciones. El código de este troyano está encriptado con una contraseña. El autor del gusano o quien conozca dicha clave, podrá conectarse a la computadora infectada y ejecutar cualquier clase de programa. Las computadoras infectadas se reportan al autor, al acceder a numerosas direcciones de Internet predefinidas en su código. El gusano intenta descargar y ejecutar un archivo de esas direcciones. El archivo descargado, es grabado en la siguiente ubicación y con el siguiente nombre: c:\windows\system\re_file.exe Actualmente, ninguna de esas direcciones está activa. Mientras se está ejecutando, el gusano intenta finalizar los siguientes procesos: alogserv.exe apvxdwin.exe atupdater.exe atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avengine.exe avpupd.exe avsynmgr.exe avwupd32.exe avxquar.exe avxquar.exe bawindo.exe blackd.exe ccapp.exe ccevtmgr.exe ccproxy.exe ccpxysvc.exe cfiaudit.exe defwatch.exe drwebupw.exe escanh95.exe escanhnt.exe firewall.exe frameworkservice.exe icssuppnt.exe icsupp95.exe luall.exe lucoms~1.exe mcagent.exe mcshield.exe mcupdate.exe mcvsescn.exe mcvsrte.exe mcvsshld.exe navapsvc.exe navapsvc.exe navapsvc.exe navapw32.exe nisum.exe nopdb.exe nprotect.exe nprotect.exe nupgrade.exe nupgrade.exe outpost.exe pavfires.exe pavproxy.exe pavsrv50.exe rtvscan.exe rulaunch.exe savscan.exe shstat.exe sndsrvc.exe symlcsvc.exe update.exe updaterui.exe vshwin32.exe vsstat.exe vstskmgr.exe El gusano borra en las claves "HKCU\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run" y "HKLM\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run" del registro, cualquier entrada que contenga alguna de las siguientes cadenas: 9XHtProtect Antivirus EasyAV FirewallSvr HtProtect ICQ Net ICQNet Jammer2nd KasperskyAVEng MsInfo My AV NetDy Norton Antivirus AV PandaAVEngine service SkynetsRevenge Special Firewall Service SysMonXP Tiny AV Zone Labs Client Ex El gusano deja de funcionar 20 días después de instalarse en una computadora, y ya no se ejecutará después del 25 de abril de 2006. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos (no todos ellos pueden estar presentes): c:\windows\cjector.exe c:\windows\system\wingo.exe c:\windows\system\wingo.exeopen c:\windows\system\wingo.exeopenopen c:\windows\system\re_file.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: wingo 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1576 Año 8, sábado 30 de octubre de 2004