|
Mostrando mensaje 602
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1553 Año 8, jueves 7 de octubre de 2004 | | Fecha: | Jueves, 7 de Octubre, 2004 04:52:19 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1553 Año 8, jueves 7 de octubre de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Darby.M. Gusano con mensajes en español
2 - W32/Fili.A. Se propaga por e-mail, P2P e IRC
_____________________________________________________________
1 - W32/Darby.M. Gusano con mensajes en español
_____________________________________________________________
http://www.vsantivirus.com/darby-m.htm
Nombre: W32/Darby.M
Nombre Nod32: Win32/Darby.M
Tipo: Gusano de Internet
Alias: Darby.M, WORM_DARBY.G, Win32/Darby.M
Fecha: 5/oct/04
Plataforma: Windows 32-bit
Tamaño: 127,740 (ZIP), 140,982 bytes (UPX)
Gusano que se propaga por correo electrónico y redes P2P.
El texto de los mensajes y los asuntos, son formados con
combinaciones de las siguientes cadenas:
100% Ideal
16 Fotos de las mejores conejitas de Playboy
16 Pictures give the best doe gives Playboy,
A postal sends you
Admin Page
AdminSystem
adwares, prueba este programa gratis y acabemos con la
lacra que es el Adware.
Alone it stops bigger than 18 years
alucinacion
Amor y Sexo
Answer
Answer for you Look at yourself this ;)
are you changed the it paginates beginning he/she
gives?, do they leave you windows publicity he/she
gives, problems with dialers, troyanos or other adwares,
does it prove this program free and do let us put an end
to the insensitive one that the Adware is.
Art gives to Seduce
Arte de seducir
As this my picture
Asi es la vida :(
auto no muy nuevo y un perro, pero lo que el queria más
eran sus 3 hijas: Ana, Ane y ...
Aviso Importante
Bajate este video, esta bueno
Besos
Blooks at these icons for the msn 6
bye
Cancion del Mamut tercera parte
capaz te interese
Carlos
Click en el adjunto y pon audifono :)
Como esta mi foto Escucha el mp3
Como Saber si le Gustas?
Como se llamaba su otra hija?
Conoce los secretos de ocultismo
Conoces como piensa el sexo opuesto?
Cris
Dibujitos (Esta Buenisimo)
Diez mandamientos del Amor y Sexo
Do you know
do you Know if they lie you?
does it Participate in this puzzle, if you could create
to the Girl (or Boy) Ideal choosing a face gives here
and does a silhouette give there, as serious your Ideal
couple?.Vision gives the Future
doesn't give you ball, with this test you can discover
specificses that indicate you that it feels for you :)
due to the reformations he/she gives the servant, it is
asked the users to complete the new registration in
order to validate their you count and don't be
suspended. Sincerely
El lenguage corporal delata sutilmente la mentira, 5
tips para saber si te estan diciendo la verdad.
El Papa de rosa era un empleado en una compañia de
seguros, vivia modestamente, tenia una casa mediana, un
Escucha este mp3
Escuchate esta cancion, Carta a Santa Claus III ;)
esta buena
Este es un test usado por el ejercito de estados unidos
al reclutar soldados, para en palabras simples medir
cuan propensos a la locura son, hacelo y ve cuan zafado
estas.
Everything has Been given
Fhas received a postcard electronic
Foto Ovni
Fotos en tu email
From: Debido a las reformas del servidor, se pide a los
usuarios completar el nuevo registro a fin de validar
sus cuentas y no sean suspendidas. Atentamente
AdminSystem
Gana dinero en internet
Gusanito.com
Ha recibido un email
Ha recibido una postal electronica
Hack Hotmail
HackHotmail
has received an email
Hay una targeta disponible para ti de parte de un amigo.
descargala o entra al link :)
he/she looks at the image 30 second and then he/she
looks to another part and truth at something surprising
(good optic illusion, almost hallucination)
Hello I ship You the info that you requested me,
responds that such this, bye
Hello, you don't know me, but I ship you something that
interested you, God willing it is you gives utility,
Here2Drawings (This Very Good)~Osama Ben Laden the man
that I declare the War to United States'Looks at this
scrensaver gives the actresses he/she gives the cinema
porn(Alone the pure truth4it is This way the life :
Hey
Hey That means your name?
Ana,The best pictures give PlayBoy gives this year, it
passes them ;) Planet
Hola
Hola, no me conoces, pero te envio algo que te
interesara, ojala te sea de utilidad, bye
Imagenes
Images(Looks at the picture*Looks at my picture;)
Importante para
Invitacion a iniciar Juego
Invitacion para recibir señal de camara web
Invitation to begin Plays
Invitation to receive sign of camera web
It discharges this video, this good
It makes money in internet
It participates in the I draw and it wins a super
computer
Janeth
Javier
Jorge
Kisses
knows the secrets of ocultismo
La información no pudo ser enviada a uno o más
destinatarios.
La respuesta a su pedido ha sido aprobada, con lo que se
hace acreedor de las ventajas y descuentos de nuestro
circulo, para mas detalles vea texto el adjunto.
Las mejores fotos de PlayBoy de este año, pasalas ;)
like thinks the opposite sex?
Limpiar Pc
listens the mp3
listens this mp3
looks at my picture
looks at this cartoon
looks at this illusion optic
looks at this picture
looks at this web
looks this 2 capable it interests you
Los nombres y los apellidos como toda palabra tienen un
significado, el cual ya en la mayoria de veces o no
recordamos, tal vez encuentres el significado del tuyo
en nuestra base de datos :)
Love and Sex.As Knowing if he Likes?
Mantener una relacion amorosa saludable y exitante exige
mucho esfuerzo y muchas ganas, te damos estas 10 claves
Manual gives Seduction
Marcos
MAS Dibujitos
Mensage
MessageRClick in the assistant and put earphone:)
Mi Album
mi foto
Miguel
Mira
Mira esta foto
Mira esta ilusion optica
Mira esta pagina
Mira esta web
Mira este cartoon
Mira este Cartoon
Mira este scrensaver de las actrices del cine porno
Mira estos iconos para el msn
Mira la foto Mira mi foto ;
mira la imagen 30 segundos y luego mira a otra parte y
veras algo sorprendente (buena ilusion optica, casi
Miralo tu mismo
Mirame ;)
Mirate esto :)
MORE Drawings
Mujeres a todo color
My Album
My Page
Necromancia
Necromancy
New Manual Section of Seduction
New Registry
No Adware
NoMentir&Manual de Seduccion
NotLie
Nueva Seccion Manual de Seduccion
Nuevo Registro
Osama Ben Laden el hombre que le declaro la Guerra a
Estados Unidos
Osama Web
Pablo
Paolav
Participa en el sorteo y gana una super computadora
Participa en este rompecabezas, si se pudiera crear a la
(el) Chica(o) Ideal escogiendo un rostro de aqui y una
silueta de alla, como seria tu pareja Ideal?
Picture Ovni Blooks at this picture, this good
Planeta PlayBoy
Play Song
PlayBoy I Warn Important
PornStars Shop
PorStars All Access
Que hay detras de un beso
Que lo indujo a dejar una posible vida de lujos(es
millonario), para embarcarse en una guerra santa contra
USA, sabias que las familias de Bush y Osama se
conocian, enterate de las verdaderas causas de su guerra
aqui.
Que Raro
Que significa tu nombre?
Quieres mejorar tu exito con el sexo opuesto, pos echale
un ojo a este texto. que tiene utiles consejos.
quieres saber cuan psicopata eres?
Quisiste hackear una cuenta de hotmail alguna vez,
entonces prueba esta tecnica, y lo bueno es que no se
nesecita ser un Hacker para usarla.
Radio On-line
Respuesta
Respuesta para
ReturnMsg
Riddles
Roberto
Sabes que significa la forma de besar o que tipos y
tecnicas existen, conocelas
Se te cambia la pagina de inicio?, te salen ventanas de
publicidad, problemas con dialers, troyanos u otros
Seguro te interesara
Sex Tantrico
Sexo Tantrico
Sexo Tantrico Imagest
Solo la pura verdad
Solo la Pura Verdad
Solo para mayores de 18 años
Song of the Mammoth third part
Strange
Sure it interested you
Tantra: ancient discipline oriental to improve the
sexual acting. Know it
Tantra: antigua disciplina oriental para mejorar el
desempeño sexual. Conocelo
Targeta Virtua
Te envio la info que me pediste, responde que tal esta,
bye
Te envio una postal
Te han enviado un Regalo virtual, esta disponible
durante 7 dias, descargalo o entra al link :)
Te mueres por esa persona, pero no sabes si decirle
algo, porque capaz no te da bola, con este test puedes
descubrir detalles que te indiquen que siente por ti :)
Ten commandments give the Love and Sex
Test
Test Aqui
That
That induced it to leave a possible life he gives
luxuries, to go aboard in a sacred war against it USES,
wise that the families give Bush and Osama they knew
each other, find out he gives the true causes he gives
their war here.
That Strange!
That there is behind a kiss&Sex Tantrico Images
The answer to its order has been approved, with what
becomes accrediting gives the advantages and discounts
gives our I circulate, for but you detail sees text the
assistant. Important for Vdo you want to know how
psychopath you are?
The corporal language accuses the lie subtly, 5 tips to
know if they are telling you the truth.
The Father gives Sandra was an employee in an insurance
company, lived modestly, tapeworm a medium house, a car
very new no and a dog, but what the one wanted more they
were its 3 daughters: Ana, Ane and... Like their other
daughter was called?.
The information could not be a correspondent to one or
more addressees.
The names and the last names like all word have a
meaning, the one which already in most he/she gives
times or we don't remember, perhaps find the meaning
he/she gives yours in our database:)
there is an available card for you on behalf of a
friend. discharge it or enters to the link:)
they have sent You a virtual Gift, this available one
during 7 days, discharge it or enters to the link:)
This Cartoon looks
This is a test used for the I exercise gives states
together to recruiting soldiers, it stops in simple
words to measure how prone to the madness they are, and
you go how released these."
Tienes un Mensage (Sabes si te mienten?
tienes un Regalo Virtual
to Clean Pc
TodO hA sIdO Dad0
Tu Nombre(Eres inteligente? ;)
Veronica
Virtual Card
Vision del Futuro
Willy
Women to all color
XXX All Voucher XXX
XXX Sex Teens Lesb
XXX Todo Vale XXX
you die for that person, but you don't know if to tell
him something, because capable
you Have a Mensage
you have a Virtual Gift,Pictures in your email
you Know that it means the form gives to kiss or that
types and techniques exist, know them
you Listen to yourself this song, Letter to Santa
Claus III
you Look at it your same one
you Look at me ;)
you Want to improve your success with the opposite sex,
search keeps an eye on this text. that has useful
advice.
you Wanted hackear one it counts gives hotmail at some
time, then test this technique, and the good thing is
that no you need to be a Hacker to use it.
Your Name.are you intelligent? ;)
Como datos adjuntos, puede ir uno de los siguientes archivos:
10claves.zip
16playboy.zip
acertijos.zip
beso.zip
crazytest.zip
cwshredderplus.zip
dibujitos.zip
drawings.zip
e-card.zip
el-card.zip
fucksanta.zip
hackhotmail.zip
ideal.zip
ilusioni.zip
images.zip
kiss.zip
lie.zip
msg.zip
nomentir.zip
osama.zip
ph0t0.zip
photo.zip
pornstars.zip
queraro.zip
registro.zip
registry.zip
returnmsg.zip
seduc.zip
sex_tantra.zip
signame.zip
signombre.zip
testg.zip
testrayado.zip
thatstrange.zip
tufuturo.zip
videoclip.zip
virtual0034.zip
yourfuture.zip
zalia.zip
Dentro del ZIP se oculta el gusano propiamente dicho, con un
nombre al azar, y generalmente mostrando un icono similar al
de las carpetas de Windows, lo que sirve para que el usuario
haga doble clic sobre él, ejecutándolo, al pensar que va a
abrir el contenido de una carpeta:
[ver imagen en http://www.vsantivirus.com/darby-m.htm]
Cuando se ejecuta, puede crear los siguientes archivos:
c:\archivos de programa\mirc\h_aqrlb
c:\windows\microsoftweb.htm
c:\windows\system\[nombre al azar]
c:\windows\system\bzip.exe
c:\windows\system\grpftpbrd.pif
c:\windows\system\gzip.zip
c:\windows\system\hwloadmon.com
c:\windows\system\image0x.scr
c:\windows\system\k^]vgen.bat
c:\windows\system\killusa.exe
NOTA: En todos los casos, "c:\windows" y "c:\windows\system"
pueden variar de acuerdo al sistema operativo instalado
("c:\winnt", "c:\winnt\system32", "c:\windows\system32",
etc.).
El gusano modifica el registro de modo de poder ejecutarse
cada vez que se intenta abrir un archivo con extensiones
.EXE, .REG, .SCR, .COM, .BAT o .PIF.
También modifica las siguientes entradas en el registro:
HKCR\keyfile\shell\open\command
(Predeterminado) = "GDC"
HKCU\Software\Microsoft\WindowsNT
\CurrentVersion\Policies\System
DisableRegistryTools = dword:00000001
DisableTaskMgr = dword:00000001
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = dword:00000001
DisableTaskMgr = dword:00000001
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
run = "c:\windows\system\[nombre al azar]"
HKLM\SOFTWARE\GedzacLABS
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Run
ISUNINSTUNST = "c:\windows\system\<random file name>"
HKLM\SOFTWARE\Microsoft\Active Setup
\Installed Components\Bardiel
Bardiel StubPath = "c:\windows\system\[nombre al azar]"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe c:\windows\system\[nombre al azar]"
Crea un servicio llamado "GEDZAC LABS"
Para propagarse por redes P2P, el gusano crea las siguientes
copias de si mismo en las carpetas compartidas por defecto de
ICQ y KaZaa (c:\archivos de programa\ICQ\shared, c:\archivos
de programa\Kazaa\My Shared Folder):
ACDSee5.5.exe
AgeofEmpires2crack.exe
AnaKournikovaSexVideo.exe
AnimatedScreen7.0b.exe
aolcracker.exe
AOLInstantMessenger.exe
aolpasswordcracker.exe
AquaNox2Crack.exe
Audiograbber2.05.exe
AVPAntivirusProKeyCrack.exe
BabeFest2004ScreenSaver1.5.exe
Babylon3.50breg_crack.exe
Battlefield1942_bloodpatch.exe
Battlefield1942_keygen.exe
BritneySpearsSexVideo.exe
BuffyVampireSlayerMovie.exe
BusinessCardDesignerPlus7.9.exe
cablemodemultilitypack.exe
CloneCD5.0.0.3(crack).exe
CloneCD5.0.0.3.exe
CoffeeCupFreezip7.0b.exe
CoolEditProv2.55.exe
counter-strike.exe
CrackPasswordsMail.exe
CreditCardNumbersgenerator(inclVisa,MasterCard,...).exe
CristinaAguileraSexVideo.exe
delphi.exe
Diablo2Crack.exe
DirectDVD5.0.exe
DirectXBuster(allversions).exe
DirectXInfoTool.exe
divx_pro.exe
divxpro.exe
DivXVideoBundle6.5.exe
DownloadAcceleratorPlus6.1.exe
DVDCopyPlusv5.0.exe
DVDRegion-Free2.3.exe
Edonkey2000-Speedmeupscotty.exe
FIFA2004crack.exe
FinalFantasyVIIXPPatch1.5.exe
FlashGet1.5.exe
FlashMXcrack(trial).exe
FreeRAMXPPro1.9.exe
GameCubeRealEmulator.exe
GetRight5.0a.exe
GlobalDiVXPlayer3.0.exe
Gothic2licence.exe
GTA3Crack.exe
GTA3Serial.exe
GuitarChordsLibrary5.5.exe
HentaiAnimeGirlsMovie.exe
Hitman_2_no_cd_crack.exe
HotBabesXXXScreenSaver.exe
HotGirls.exe
hotmail_hack.exe
HotmailHacker2004-XssExploit.exe
ICQPro2004a.exe
ICQPro2004b(newbeta).exe
iMesh3.6.exe
iMesh3.7b(beta).exe
IrfanView4.5.exe
JeniferLopezSexVideo.exe
KaZaAHack2.5.0.exe
KazaaSDK+XbitspeedUpfor2.xx.exe
KaZaASpeedup3.6.exe
Links2004Golfgame(crack).exe
LivingWaterfalls1.3.exe
macromediadreamweaverkeygenerator.exe
Mafia_crack.exe
MatrixMovie.exe
MatrixScreensaver1.5.exe
McafeeAntivirusScanCrack.exe
MediaPlayerUpdate.exe
MicrosoftKeyGenerator-Allmostallmicrosoftstuff.exe
mIRC6.40.exe
mp3TrimPRO2.5.exe
MSNMessenger5.2.exe
NBA2004_crack.exe
Need4Speedcrack.exe
NeroBurningROMcrack.exe
NetbiosNuker2004.exe
Netfast1.8.exe
NetworkCableeADSLSpeed2.0.5.exe
NHL2004crack.exe
NimoCodecPack(new)8.0.exe
NortonAnvirusKeyCrack.exe
PalTalk5.01b.exe
pamela_anderson.exe
PandaAntivirusTitaniumCrack.exe
PerAntivirus8.9.exe
playstationemulator.exe
PopupDefender6.5.exe
Pop-UpStopper3.5.exe
PS2PlayStationSimulator.exe
QuickTime_Pro_Crack.exe
QuickTimeKeyCrack.exe
SakuraCardCaptorMovie.exe
Screensaverchristinaaguilera.exe
Screensaverchristinaaguileranaked.exe
Security-2004-Update.exe
serials2000.exe
Serials2004v.8.0Full.exe
SexLiveSimulator.exe
SexPasswords.exe
SmartFTP2.0.0.exe
SmartRipperv2.7.exe
SpaceInvaders1978.exe
SpidermanMovie.exe
Splinter_Cell_Crack.exe
Starcraftserial.exe
StartWarsTrilogyMovies.exe
Steinberg_WaveLab_5_crack.exe
StrippingMP3dancer+crack.exe
subseven.exe
ThaliaSexVideo.exe
TheHackerAntivirus5.7.exe
Trillian0.85(free).exe
TweakAll3.8.exe
Unreal2_bloodpatch.exe
Unreal2_crack.exe
UT2004_bloodpatch.exe
UT2004_keygen.exe
UT2004_nocd(crack).exe
UT2004_patch.exe
VB6.exe
VirtuaGirl(Full).exe
virtuagirl-adriana.exe
virtuagirl-baileyshortskirt.exe
VirtualSex.exe
VisualBasic6.0MsdnPlugin.exe
Visualbasic6.exe
WarCraft_3_crack.exe
warcraft3crack.exe
warcraft3serials.exe
WhatisIt.exe
Winamp3.8.exe
winamppluginpack.exe
WindowBlinds4.0.exe
WindowsXPcomplete+serial.exe
WindowsXpExploit.exe
WinOnCD4PE_crack.exe
WinRar3.xxPasswordCracker.exe
WinZip9.0b.exe
winzipfullversionkeygenerator.exe
WinzipKeyGeneratorCrack.exe
WinZippedVisualC++Tutorial.exe
XNuker20042.93b.exe
YahooMessenger6.0.exe
ZeldaClassic2.00.exe
Para propagarse por recursos compartidos de redes, el gusano
intenta utilizar una lista de nombres de usuario y
contraseñas predefinidas en su código.
El gusano puede finalizar los siguientes procesos si alguno
está activo. Muchos pertenecen a conocidos antivirus y
cortafuegos:
ackwin32
adaware
advxdwin
agent
alert
alevir
alogserv
anti-trojan
antivir
aplica32
atcon
ate32class
atro55en
atupdater
atwatch
aupdate
autodown
auto-protect
autotrace
autoupdate
avconsol
ave32
avltmain
avmon
avrep32
avrescue
avsched32
avsynmgr
backweb
bd_professional
bidef
bidserver
bipcp
blackd
blackice
bootwarn
borg2
bs120
buscareg
ccapp
ccevtmgr
ccpxysvc
cfgwiz
cfiadmin
cfiaudit
cfind
cfinet
claw95
claw95ct
cleanpc
clrav
cmgrdian
cmon016
cpf9x206
cpfnt206
csinject
csinsm32
css1631
cwnb181
cwntdwmo
defalert
defwatch
deputy
doors
drwatson
drweb32
drwebupw
dvp95
ecengine
efinet32
efpeadm
esafe
espwatch
etrustcipe
f-agnt95
fameh32
fch32
fih32
filemon
findviru
fix-it
flowprotector
fnrb32
fprot
f-prot
fp-win
fp-win_trial
fsgk32
f-stopw
fwenc
gbmenu
gbpoll
generics
guard
hacktracer
htlog
iamapp
icload
icssuppnt
icsupp95
iface
ifw2000
iomon98
iparmor
isrv95
jammer
kavlite
kerio
ldnetmon
ldpro
ldpromenu
localnet
lockdown
lookout
lsetup
lucomserver
luinit
luspt
mcmnhdlr
mcshield
mctool
mcupdate
mcvsrte
mcvsshld
mfw2en
mfweng3
mgavr
mghtml
minilog
monitor
monsys
monwow
moolive
mpfservice
mpftray
mrflux
msconfig
msinfo32
mssmmc32
mu0311ad
mwatch
mxtask
nc2000
ncinst4
ndd32
neowatchlog
netarmor
netd32
netinfo
netmon
netspyhunter
netstat
netutils
nisserv
nmain
nod32
normist
notstart
npscheck
npssvc
nsched32
nspclean
ntvdm
ntxconfig
nupgrade
nvapsvc
nvarch16
nvlaunch
nvsvc32
nwinst4
nwservice
nwtool16
offguard
ostronet
outpost
padmin
panixk
pccntmon
pcdsetup
pcfwallicon
pcip10117_0
pcntmon
pfwadmin
pfwagent
pfwcon
pfwsvc
platin
pop3trap
poproxy
portdetective
ppinupdt
pptbc
ppvstop
pqremove
prebind
procexp
procexplorerv1
programauditor
proport
protect
purge
pview95
qconsole
qserver
rapapp
realmon
regedit
regedt32
regmon
rescue
rshell
rtvscn95
rulaunch
safeweb
sbserv
schedapp
serv95
setup_flowprotector_us
setupvameeval
sgssfw32
sharedaccess
shellspyinstall
sphinx
spyxx
srwatch
ss3edit
stinger
supftrl
supporter5
sweep
swnetsup
symproxysvc
symtray
sysdoc32
sysedit
taskmgr
taskmon
taumon
tauscan
tbscan
tgbob
titanin
tmntsrv
tracer
undoboot
Update
vbcmserv
vbcons
vbust
vbwin
vccmserv
vcontrol
vcsetup
vettray
vfsetup
vir-help
vnlan300
vnpc3000
vpfw30s
vptray
vscenu6
vsecomr
vshwin32
vsisetup
vsmain
vsmon
vsstat
vswin
vvstat
w32dsm89
watchdog
webtrap
wfindv32
wgfe95
whoswatchingme
wimmun32
winrecon
winroute
winsfcm
wradmin
wrctrl
wsbgate
zapro
zatutor
zauinst
zlclient
zonalm2601
zonealarm
zonestub
También intenta abrir determinados sitios de Internet, y de
modificar la página de inicio del Internet Explorer para que
apunte a ellos.
El gusano contiene el siguiente texto en su código:
W32.Bardiel.d.worm By MachineDramon/GEDZ
* Reparación manual
* Preparación previa
1. Descargue el siguiente archivo (repara2.reg):
http://www.videosoft.net.uy/repara2.reg
2. Actualice sus antivirus con las últimas definiciones
3. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Modificar la asociación para el registro (.REG)
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Herramientas' (Windows Me/2000/XP) o
el menú 'Ver' (Windows 95/98/NT), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Tipos de archivo'.
4. Busque en "Tipos de archivos registrados", la extensión
REG (o el nombre "Entradas de registro") y haga clic en él.
5. Pinche en el botón "Opciones avanzadas" (o "Edición"),
seleccione la opción "Combinar" de la lista de acciones, y
pinche en el botón "Modificar" (o "Edición").
6. En "Aplicación utilizada para realizar la acción:",
escriba lo siguiente:
regedit.exe "%1"
7. Pinche en "Aceptar" hasta cerrar todas las ventanas.
* Editar el registro
1. Haga doble clic sobre el archivo REPARA2.REG descargado
antes (ver "Preparación previa"), para agregar su contenido
al registro.
2. Ejecute el editor de registro. Desde una ventana MS-DOS
escriba REGEDIT y pulse ENTER
3. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
4. En el panel derecho, en la entrada "Shell", deje solo
"Explorer.exe".
5. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
ISUNINSTUNST
7. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows
8. Pinche en la carpeta "Windows", y en el panel derecho,
borre el contenido de la entrada "Run="
9. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\WindowsNT
\CurrentVersion
\Policies
\System
10. Haga clic en la carpeta "System" y bórrela.
11. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\keyfile
12. Haga clic en la carpeta "keyfile" y bórrela.
13. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\System
14. Haga clic en la carpeta "System" y bórrela.
15. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\GedzacLABS
16. Haga clic en la carpeta "GedzacLABS" y bórrela.
17. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Active Setup
\Installed Components
\Bardiel
18. Haga clic en la carpeta "Bardiel" y bórrela.
* Antivirus
1. Ejecute su antivirus en modo escaneo, revisando todos sus
discos
2. Borre los archivos detectados como infectados
3. Reitere estos pasos en cada computadora conectada en red
* Borrar archivos temporales de Windows
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Procedimiento para restaurar página de inicio en Internet
Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Haga clic en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Haga clic en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también
la página inicio" y seleccione el botón SI.
7. Haga clic en "Aceptar".
* Seleccionar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde
Herramientas, Opciones de Internet, General, Página de
inicio, por una de su preferencia (o haga clic en "Página en
blanco"). O navegue hacia una página de su agrado, haga clic
en Herramientas, Opciones de Internet, General, y finalmente
haga clic en "Usar actual".
* Restaurar las páginas de búsqueda del Internet Explorer
1. Inicie el Internet Explorer.
2. Haga clic en el botón "Búsqueda" de la barra de
herramientas.
3. En el panel que se despliega (Nuevo, Siguiente,
Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda"
(Use Search Assistant).
5. Haga clic en el botón "Reiniciar" (Reset).
6. Haga clic en el botón "Configuración de Autosearch"
(Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search
Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Fili.A. Se propaga por e-mail, P2P e IRC
_____________________________________________________________
http://www.vsantivirus.com/fili-a.htm
Nombre: W32/Fili.A
Tipo: Gusano de Internet
Alias: Fili, Win32/Fili.A, W32.Fili@mm, Bloodhound.Packed,
Bloodhound.W32.5, I-Worm.VB.q
Fecha: 6/oct/04
Plataforma: Windows 32-bit
Tamaño: 20,480 bytes
Gusano escrito en Visual Basic que se propaga a través del
Microsoft Outlook y Outlook Express, y por redes P2P. También
puede propagarse por canales de IRC, vía mIRC.
Finaliza los procesos de varias aplicaciones de seguridad.
Los mensajes, enviados a todos los contactos de la libreta de
direcciones del usuario infectado, poseen estas
características:
Asunto: [uno de los siguientes]
Important legal notice!
Please help us to save the right of
freedom of expression!
Please help us be free! We need the
basic right of expression
Texto del mensaje: [uno de los siguientes]
Do not delete this message. Analyse attachement and
reply as soon as possible with manifesto details.
Thank you!
All details will be displayed in small attached file.
Good luck and thank you.
Its just hip-hop. Nothing else. Enjoy!
You personal manifesto details are attached. Take good
care of them!
Help us gather online votes for our anti-censore
manifesto
We need you help now! Attachement will automatically
send a vote to our online database once you run it and
will be redirected to our webpage!
Its curious, its scandalous... dont be so furious!
Life is bitch so dont take it serious.
Please help us be free! We need the basic right of
expression.
Enable an online vote for our manifesto with the help
of the attachement.
Many thanks!
Music is beeing censored, journalists are afraid, law
has not been respected for long time. Why? Because of
corruption and lack of right of expression. Help us!
Enable the attachement and our voting system will
track and record you help. Many thanks!
Parazitii need your help for the anti-censore
campaign! See all details in the attachement. Thank
you!
Oh yeah! one more thing: its a censore-related
manifesto :)
This is my manifesto. You can stop this individual,
but you can't stop us all...after all,we're all alike.
Datos adjuntos: [uno de los siguientes]
attachement.???
details.???
Freedom of expression.???
Government issue.???
Manifesto anti pilif.???
Manifesto details.???
manifesto.???
pilif.???
request.???
Simple solution.???
sustain cause.???
Donde "???" es una de las siguientes extensiones:
.bat
.cmd
.com
.exe
.pif
.scr
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\system\pilif.exe
c:\windows\system\adrbook
\mIRC folder\Manifesto Anti Censore Pilif.txt.exe
Modifica el registro para autoejecutarse en cada reinicio de
Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Pilif = "c:\windows\system\pilif.exe"
Busca las carpetas compartidas de las siguientes aplicaciones
de interacambio de archivos entre usuarios:
eDonkey
Grokster
ICQ
KaZaA
Limewire
Morpheus
WinMX
Y se copia en dichas carpetas con los siguientes nombres y
extensiones variables:
Anti-hacker Utility
Cracks mega warez collection
Dark Coderz Alliance
Easy credit card validation
Free porn sites accounts
Kasperky AV Universal Key
Norton 2004 crack
Sex - totally free porn
Webmail official hacker
Yahoo hacker
También crea el siguiente valor en el registro para
deshabilitar el Administrador de tareas:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = "00000001"
El gusano busca en el sistema la presencia del mIRC o mIRC32,
y modifica el archivo SCRIPT.INI para propagarse vía IRC.
Intenta deshabilitar los siguientes procesos de antivirus y
otras aplicaciones de seguridad.
Agnitium Firewall
Kaspersky Anti-Virus
Kaspersky Anti-Virus Personal
Kaspersky AV Control Centre
Sygate Personal Firewall
Windows Updater
Zone Alarm
El gusano ejecuta su propio proceso en memoria, con el nombre
del ejecutable del gusano, por ejemplo PILIF.EXE.
Cuando se ejecuta, muestra al usuario la pantalla de reinicio
de Windows para obligar al usuario a reiniciar su
computadora.
* Reparación manual
* Deshabilitar las carpetas compartidas de programas P2P
Es necesario deshabilitar la opción que permite compartir
archivos del o los programas P2P instalados en su
computadora, o podría fallar la limpieza del sistema.
Para ello, siga las instrucciones del siguiente artículo:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\System
3. Haga clic en la carpeta "System" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Pilif
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1553 Año 8, jueves 7 de octubre de 2004
|
Responder a este mensaje
