Mostrando mensaje 616     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1567 Año 8, jueves 21 de octubre de 2004 Fecha: Jueves, 21 de Octubre, 2004  04:42:39 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1567 Año 8, jueves 21 de octubre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Dos vulnerabilidades en Internet Explorer 6 2 - Denegación de servicio en Opera, Mozilla y Lynx 3 - W32/Liber.G. Muestra mensaje político sobre Cuba 4 - W32/Bagz.D. Desactiva cortafuegos de Windows _____________________________________________________________ 1 - Dos vulnerabilidades en Internet Explorer 6 _____________________________________________________________ http://www.vsantivirus.com/vul-ie6-201004.htm Dos vulnerabilidades en Internet Explorer 6 Por Angela Ruiz angela@videosoft.net.uy Secunia anunció dos vulnerabilidades en Internet Explorer 6. Las mismas podrían ser explotadas por personas maliciosas para comprometer el sistema del usuario afectado, enlazar a documentos y recursos locales, y saltearse las características de seguridad de Windows XP con Service Pack 2 instalado. Una de las vulnerabilidades se produce por una validación insuficiente de los eventos "drag an drop", al arrastrar y soltar objetos desde la zona de Internet hacia recursos locales, tanto para imágenes válidas como para archivos multimedia con código HTML embebido. Esto puede ser explotado por un sitio Web malicioso para plantar documentos HTML en forma arbitraria en el sistema del usuario, con la posibilidad de ejecutar scripts maliciosos en la zona de seguridad local (Mi PC). NOTA: Windows XP SP2 no permite secuencias de comandos ActiveX (Active Scripting), en la zona de seguridad local. La segunda vulnerabilidad ocurre por un error en las restricciones de las zonas de seguridad, donde por ejemplo, un control de ayuda HTML embebido en cierta página de un sitio web malicioso, que haga referencia a un archivo índice especialmente creado a mano (.hhk), podría ejecutar un documento HTML local. NOTA: Esto también eludiría la característica de bloqueo de la zona de seguridad local de Windows XP SP2. Las dos vulnerabilidades, en combinación con un comportamiento inadecuado de un modelo ADO (ActiveX Data Objects, un sistema de acceso a bases datos a través de la web), podrían ser explotadas para escribir archivos en forma arbitraria, comprometiendo el sistema del usuario. Este problema ha sido confirmado en un sistema con todos los parches actualizados, y con Internet Explorer 6.0 y Microsoft Windows XP SP2 instalados. La solución es deshabilitar la secuencia de comandos ActiveX en sitios no confiables. Se sugiere para ello, la siguiente configuración: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm * Créditos: http-equiv Andreas Sandblad de Secunia Research (reportado a Microsoft el 13/10/2004). * Otras referencias: Microsoft Internet Explorer Drag and Drop Vulnerability http://secunia.com/advisories/12321/ Microsoft Internet Explorer Two Vulnerabilities http://secunia.com/advisories/12889/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Denegación de servicio en Opera, Mozilla y Lynx _____________________________________________________________ http://www.vsantivirus.com/vul-opera-mozilla-lynx-201004.htm Denegación de servicio en Opera, Mozilla y Lynx Por Angela Ruiz angela@videosoft.net.uy Han sido reportadas varias vulnerabilidades en los navegadores Opera, Mozilla y Lynx. Un error de interpretación del código HTML en Opera, puede permitir que un usuario remoto llegue a causar una denegación de servicio (DoS). El atacante podría crear un archivo HTML, que al ser visualizado en el Opera, haría que el navegador deje de responder. Existe un exploit de este fallo, que consiste en una secuencia determinada de ciertas etiquetas HTML. Mozilla también es afectado por otra secuencia muy similar de etiquetas, combinadas con algunos caracteres adicionales. El navegador dejará de responder cuando el usuario visite una página creada maliciosamente para contener dicha secuencia de instrucciones. Además, el Mozilla también fallará si se utiliza en un documento HTML cierta combinación de elementos visuales. Hay exploits publicados para estos fallos. El mismo problema de interpretación del código HTML, afecta también a Lynx, un navegador en formato texto, muy extendido en entornos tipo Unix y Linux. No hay soluciones publicadas a la fecha de este aviso, para ninguno de estos navegadores. * Créditos: Michal Zalewski <lcamtuf@ghettot.org> * Más información Opera HTML Parsing Errors Let Remote Users Deny Service http://securitytracker.com/alerts/2004/Oct/1011811.html Mozilla HTML Parsing Errors Let Remote Users Deny Service http://securitytracker.com/alerts/2004/Oct/1011810.html Lynx HTML Parsing Errors Let Remote Users Deny Service http://securitytracker.com/alerts/2004/Oct/1011809.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Liber.G. Muestra mensaje político sobre Cuba _____________________________________________________________ http://www.vsantivirus.com/liber-g.htm Nombre: W32/Liber.G Nombre Nod32: Win32/Liber.G Tipo: Gusano de Internet Alias: Liber.G, W32/Liber.G Fecha: 20/oct/04 Plataforma: Windows 32-bit Tamaño: 43,407 bytes Este gusano, escrito en Visual Basic y de origen cubano, fue detectado el 20 de octubre de 2004 por Nod32, sin necesidad de actualización, gracias a su Heurística Avanzada. El gusano utiliza la librería MSVBVM60.DLL de Windows (Visual Basic Virtual Machine), de modo que puede fallar en aquellos sistemas que no la tengan. La misma es instalada por otras aplicaciones como Office por ejemplo. Cuando el gusano está activo en memoria, el rendimiento general de la computadora infectada puede caer sensiblemente. Al ejecutarse, el gusano muestra una ventana de error falsa, con el siguiente texto: File corrupted File corrupted or bad format [ Aceptar ] Inmediatamente después crea los siguientes archivos en el sistema: c:\recycled\Nostradamus.exe c:\windows\system32\Nostradamus.exe c:\windows\system32\SMTP.ocx c:\Libertad de expresion para Cuba!!!!!! NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Los archivos copiados son los siguientes: - NOSTRADAMUS.EXE (151,551 bytes) es el gusano propiamente dicho. - SMTP.OCX (90,112 bytes), es una librería estándar utilizada para el envío de sus mensajes. - LIBERTAD DE EXPRESION PARA CUBA!!!!!! es el nombre de un archivo de 0 bytes creado en el raíz de la unidad C: Para autoejecutarse en cada reinicio, el gusano crea la siguiente entrada: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Sav32 = c:\recycled\Nostradamus.exe Si la carpeta C:\RECYCLED no existe en la computadora infectada, el gusano no la crea. Cómo en Windows XP, por defecto esta carpeta (la papelera de reciclaje), no existe con ese nombre, el gusano no se ejecutará luego del primer reinicio (aunque si realizará el resto de sus acciones). Cuando la computadora se reinicia (no en XP), el gusano vuelve a mostrar el mensaje de error anterior. La única opción posible para continuar, es pulsar el botón aceptar o cerrar la ventana con el aspa de cierre. En cualquiera de los dos casos, en ese momento se mostrará una pantalla negra que ocupa todo el espacio del monitor, con el siguiente texto en letras blancas: Esta computadora ha sido infectada por el virus LIBERTAD. Como protesta por la violación del derecho a la libertad de expresión en Cuba. En estos momentos toda la información de su disco duro esta siendo borrada El Hobbit A pesar de lo que indica el mensaje, el gusano no borra ningún archivo. La pantalla negra generada solo oculta el escritorio de Windows. Un usuario puede detener el proceso del gusano, si pulsa en ese momento CTRL+ALT+DEL y selecciona en la lista de aplicaciones, la llamada SCAN, o en la lista de procesos, NOSTRADAMUS.EXE. El gusano puede propagarse en un mensaje como el siguiente (o ser enviado en forma de spam con otro mensaje): Asunto: Profecias de Nostradamus. Texto del mensaje: Contraseña:"yes" Nostradamus (ver 2.5) puede predecirte el futuro con un 90% de efectividad. Puedes saber lo que te pasará mañana o dentro de 10 años. Esta versión es de prueba, si te interesa descargar la versión completa visita nuestra web. http:\ \www .nostradamus .globalcyt .com/download Datos adjuntos: Nostradamus.zip (43,407 bytes) El adjunto está protegido por contraseña, la cuál se indica en el texto del mensaje. Las direcciones a las que se envía, son tomadas de archivos de la máquina infectada, con las siguientes extensiones: .dbx .doc .doc .eml .htm .htt .wab En el código del gusano, se encuentran también las siguientes direcciones y textos: hobbit @ cubalibre .com internetprovider .com MICROSOFT SEGURMATICA NORTON VIR KASPER LOCALHOST DAEMON Las propiedades que presenta el ejecutable NOSTRADAMUS.EXE son las siguientes: Versión del archivo: 1.0.0.0 Copyright: El Hobbit Comentarios: Por la libertad de espresión Idioma: Español (Alfabetización internacional) Nombre del producto: Scan Nombre interno: Nostradamus Nombre original del archivo: Nostradamus.exe Organización: xx Versión del archivo: 1.00 Versión del producto: 1.00 * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\recycled\Nostradamus.exe c:\windows\system32\Nostradamus.exe c:\windows\system32\SMTP.ocx c:\Libertad de expresion para Cuba!!!!!! Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Sav32 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Bagz.D. Desactiva cortafuegos de Windows _____________________________________________________________ http://www.vsantivirus.com/bagz-d.htm Nombre: W32/Bagz.D Nombre Nod32: Win32/Bagz.D Tipo: Gusano de Internet Alias: Bagz.D, Win32/Bagz.D, W32/Bagz.d@MM, W32.Bagz@mm, W32.Bagz.D@mm Fecha: 19/oct/04 Plataforma: Windows 32-bit Tamaño: 157,186 bytes (EXE); 153,007 bytes (ZIP) Gusano que intenta deshabilitar el cortafuegos de Windows XP. Su presencia en un sistema infectado, resulta en una notoria caída de rendimiento en la conexión a Internet. Se propaga por correo electrónico en forma masiva, utilizando su propio motor SMTP, a direcciones obtenidas en archivos de la máquina infectada. Utiliza remitentes falsos. Los mensajes tienen las siguientes características: De: [una dirección falsa] Asunto: [uno de los siguientes] - Administrator - Allert! - Amirecans - ASAP - Att - attach - attachments - best regards - contract - Have a nice day - Hello - Money - office - please responce - re: Andrey - re: order - re: please - Read this - Russian's - text - toxic - urgent - Vasia - waiting - Warning Texto del mensaje: [uno de los siguientes] Ejemplo 1: Did you get the previous document I attached for you? I resent it in this email just in case, because I really need you to check it out asap. Best Regards Ejemplo 2: I made a mistake and forgot to click attach on the previous email I sent you. Please give me your opinion on this opportunity when you get a chance. Best Regards Ejemplo 3: I was supposed to send you this document yesterday. Sorry for the delay, please forward this to your family if possible. It contains important info for both of you. Ejemplo 4: Sorry, I forgot to send an important document to you in that last email. I had an important phone call. Please checkout attached doc file when you have a moment. Best Regards Ejemplo 5: I was in a rush and I forgot to attach an important document. Please see attached doc file. Best Regards, Ejemplo 6: I am responding to your last email in the attached file. Please get back to me if there is any problem reading the attachment. Ejemplo 7: I had a delivery problem with your inbox, so maybe you'll receive this now. For some reason, I received only part of your last several emails. I want to make sure that there are no problems with either of our accounts. it was previously blocked by your email filters. Please view the attachment and respond. Thanks Ejemplo 8: it was previously blocked by your email filters. Please read the attachment and respond. Thanks Ejemplo 9: My system crashed last weekend and I lost most of my friends and work contacts. Please check the attached (.pdf) and please let me know if your info is current. Ejemplo 10: The reason is that I am not currently added to your "allowed" contact list. Please add my updated contact info provided in the attached (.pdf) file so I can send you emails in the future. Sincerely Ejemplo 11: See the (.pdf) file attached and please respond if you have any questions. Ejemplo 12: Please verify your mailing address on file is correct. We have attached a (.pdf) sheet for you to use for your response. Ejemplo 13: Our contact information has changed. See the attached (.pdf) sheet for details. Sincerely, Ejemplo 14: Due to your failure to comply with our email Rules and Regulations, your email account has been temporarily suspended for 24 hours unless we are contacted regarding this situation. You must read the attached document for further instructions. Failure to comply will result in termination of your account. Regards, Net Operator Ejemplo 15: ***URGENT: SERVICE SHUTDOWN NOTICE*** You are currently unable to send emails. This may be a billing issue. Please call the billing center. The # for the billing office is located in the attached contact list for your convenience. Ejemplo 16: ***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!*** Hello, The previous email you sent has been recognized as spam. This means your email was not delivered to your friend or client. You must open the attached file to receive more information. Ejemplo 17: ***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM*** What version of windows you are using? This last document I received from you came out weird. Please see the attached word file and resend the file to me. Many thanks, User Ejemplo 18: My PC crashed while I was sending that last email. I have re-attached the document of yours that I discovered. Please read attached document and respond ASAP. Sincerely, User Ejemplo 19: Your email was sent in an INVALID format. To verify this email was sent from you, simply open the attached email (.eml) file and click yes in the sender options box. Thank You, User Ejemplo 20: Your email was received. YOUR REPLY IS URGENT! Please view the attached text file for instructions. Regards, User Ejemplo 21: I was in a hurry and I forgot to attach an important document. Please see attached. Best Regards, User Ejemplo 22: I resent this email as attachment because it was previously blocked by your email filters. Please read the attachment and respond. Thanks,User Ejemplo 23: Sorry, I forgot to attach the new contact information. Please view the attached (.pdf) contact sheet. Sincerely, User Datos adjuntos: [uno de los siguientes] about.doc [múltiples espacios] .exe about.zip admin.doc [múltiples espacios] .exe admin.zip archivator.doc [múltiples espacios] .exe archivator.zip archives.doc [múltiples espacios] .exe archives.zip ataches.doc [múltiples espacios] .exe ataches.zip backup.doc [múltiples espacios] .exe backup.zip docs.doc [múltiples espacios] .exe docs.zip documentation.doc [múltiples espacios] .exe documentation.zip help.doc [múltiples espacios] .exe help.zip inbox.doc [múltiples espacios] .exe inbox.zip manual.doc [múltiples espacios] .exe manual.zip outbox.doc [múltiples espacios] .exe outbox.zip payment.doc [múltiples espacios] .exe payment.zip photos.doc [múltiples espacios] .exe photos.zip rar.doc [múltiples espacios] .exe rar.zip readme.doc [múltiples espacios] .exe readme.zip save.doc [múltiples espacios] .exe save.zip sysboot.doc [múltiples espacios] .exe zip.doc [múltiples espacios] .exe zip.zip Los archivos ZIP contienen una copia del gusano con una o dos extensiones separadas por espacios (JPG y PIF). Cuando se ejecuta, crea los siguientes archivos: c:\windows\system32\rpc32.exe c:\windows\system32\run32.exe c:\windows\system32\sysboot.doc [múltiples espacios] .exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). El gusano crea un servicio llamado "Network Explorer" para autoejecutarse en memoria (RPC32.EXE). Deshabilita el cortafuegos de Windows XP, e instala su propio driver de redes para eludir el cortafuegos de la red local. También puede descargar y ejecutar otros archivos desde Internet. Busca direcciones electrónicas a las que luego se envía en mensajes como los descriptos antes, en archivos del equipo infectado con las siguientes extensiones: .dbx .htm .tbb .tbi .txt El gusano evita enviarse a direcciones con las siguientes cadenas en sus nombres: @avp @foo @iana @messagelab @microsoft abuse admin administrator@ all@ anyone@ bsd bugs@ cafee certific certs@ contact@ contract@ feste free-av f-secur gold- gold-certs@ google help@ hostmaster@ icrosoft info@ kasp linux listserv local netadmin@ news nobody@ noone@ noreply ntivi oocies panda pgp postmaster@ rating@ root@ samples sopho spam support support@ unix update webmaster@ winrar winzip También modifica el archivo HOSTS de Windows, para impedir que el usuario infectado pueda acceder a los siguientes sitios de Internet: ad .doubleclick .net ad .fastclick .net ads .fastclick .net ar .atwola .com atdmt .com avp .com avp .ch avp .ru awaps .net banner .fastclick .net banners .fastclick .net ca .com click .atdmt .com clicks .atdmt .com dispatch .mcafee .com download .mcafee .com download .microsoft .com downloads .microsoft .com engine .awaps .net fastclick .net f-secure .com ftp .f-secure .com ftp .sophos .com go .microsoft .com liveupdate .symantec .com mast .mcafee .com mcafee .com media .fastclick .net msdn .microsoft .com my-etrust .com nai .com networkassociates .com office .microsoft .com phx .corporate-ir .net secure .nai .com securityresponse .symantec .com service1 .symantec .com sophos .com spd .atdmt .com support .microsoft .com symantec .com update .symantec .com updates .symantec .com us .mcafee .com vil .nai .com viruslist .ru windowsupdate .microsoft .com www .avp .com www .avp .ch www .avp .ru www .awaps .net www .ca .com www .fastclick .net www .f-secure .com www .kaspersky .ru www .mcafee .com www .my-etrust .com www .nai .com www .networkassociates .com www .sophos .com www .symantec .com www .trendmicro .com www .viruslist .ru www3 .ca .com También elimina procesos y entradas en el registro, de múltiples aplicaciones de seguridad, relacionadas con los siguientes archivos: 804mbd1.chk 804mbd1.img aboutplg.dll alert.zap appinit.ini apwcmdnt.dll apwutil.dll ashavast.exe ashbug.exe ashchest.exe ashdisp.exe ashldres.dll ashlogv.exe ashmaisv.exe ashpopwz.exe ashquick.exe ashserv.exe ashsimpl.exe ashskpcc.exe ashskpck.exe aswboot.exe aswregsvr.exe aswupdsv.exe avcompbr.dll avres.dll bootwarn.exe camupd.dll ccavmail.dll ccimscn.exe cerbprovider.pvx cfgwiz.exe cfgwzres.dll cimscan.dll defalert.dll djsalert.dll dunzip32.dll edisk.dll email.zap emscnres.dll filter.zap firewall.zap framewrk.dll ftscnres.dll idlock.zap imscnbin.inf imscnres.inf ltchkres.dll mcappins.exe mcavtsub.dll mcinfo.exe mcmnhdlr.exe mcscan32.dll mcshield.dll mcshield.exe mcurial.dll mcvsctl.dll mcvsescn.exe mcvsftsn.exe mcvsmap.exe mcvsrte.exe mcvsscrp.dll mcvsshl.dll mcvsshld.exe mcvsskt.dll mcvsworm.dll mghtml.exe mpfagent.exe mpfconsole.exe mpfservice.exe mpftray.exe mpfui.dll mpfupdchk.dll mpfwizard.exe mvtx.exe n32call.dll n32exclu.dll naiann.dll naievent.dll navap32.dll navapscr.dll navapsvc.exe navapw32.dll navapw32.exe navcfgwz.dll navcomui.dll naverror.dll navevent.dll navlcom.dll navlnch.dll navlogv.dll navlucbk.dll navntutl.dll navoptrf.dll navopts.dll navprod.dll navshext.dll navstats.dll navstub.exe navtasks.dll navtskwz.dll navui.dll navui.nsi navuihtm.dll navw32.exe navwnt.exe netbrext.dll ntclient.dll oeheur.dll officeav.dll opscan.exe outscan.dll outscres.dll patch25d.dll patchw32.dll persfw.exe pfwadmin.exe probegse.dll programs.zap ptchinst.dll qconres.dll qconsole.exe qspak32.dll quar32.dll quarantine quaropts.dat s32integ.dll s32navo.dll savrt.sys savrt32.dll savrtpel.sys savscan.exe scan.dat scandlvr.dll scandres.dll scanmgr.dll scanserv.dll scriptui.dll scrpres.dll scrpsbin.inf scrstres.inf sched.exe sdpck32i.dll sdsnd32i.dll sdsok32i.dll sdstp32i.dll security.zap shextbin.inf shextres.inf shlres.dll sruledb.dll ssleay32.dll statushp.dll symnavo.dll tutorwiz.dll vsagntui.dll vsavpro.dll vsdb.dll vsmon.exe vsoui.dll vsoupd.dll vsowow.dll vsvault.dll wormres.dll zatutor.exe zauninst.exe zav.zap zl_priv.htm zlclient.exe zlparser.dll zonealarm.exe * Reparación manual * Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecutar Administrador de tareas. a. En Windows 95/98/Me pulse CTRL+ALT+SUPR (ver "Utilización de la herramienta "Process Explorer") b. En Windows NT/2K/XP pulse CTRL+SHIFT+ESC y seleccione la lengüeta "Procesos" 3. En la lista de programas (nombre de imagen) localice el siguiente proceso: rpc32.exe 4. Seleccione ese nombre y haga clic en "Terminar proceso" o "Finalizar tarea". 5. Para asegurarse de haberlo quitado, vuelva a ejecutar los pasos 2, 3 y 4 si fuera necesario. * Utilización de la herramienta "Process Explorer" Para completar exitosamente el proceso de eliminación, es necesario detener la ejecución del virus en memoria. Puede usarse el administrador de tareas de Windows como se indicó antes, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE. Para la finalización de los procesos indicados, localice y "mate" (Kill Process), cada proceso cuyo nombre se menciona en los pasos anteriores (ver "Eliminación de procesos del virus en memoria"), buscándolo bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer". * Buscar y detener el servicio (Windows XP): 1. Desde Inicio, Ejecutar, escriba SERVICES.MSC y pulse Enter. 2. En la lista de servicios busque "Network Explorer". 3. Haga doble clic sobre ese servicio, y haga clic en el botón "Detener" si corresponde. 4. Cambie el "Tipo de inicio" a Manual. 5. Haga clic en "Aceptar" y cierre la ventana de Servicios. * Antivirus 1. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 2. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\rpc32.exe c:\windows\system32\run32.exe c:\windows\system32\sysboot.doc [múltiples espacios] .exe Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. * Información adicional * Activar el cortafuegos de Windows XP y la conexión compartida de Windows 2000 * En Windows XP SP2 1. Abra el Panel de Control, haga doble clic en el icono "Centro de Seguridad" 2. Active el cortafuego de Windows (si este se encuentra desactivado). 3. Cierra la ventana del cortafuego, cierre el Centro de Seguridad, por ultimo cierre el panel de control. * En Windows 2000 o Windows XP SP1 1. Haga clic en el botón Inicio, Ejecutar e ingrese lo siguiente: services.msc 2. Presione el botón Aceptar. * En Windows 2000 en la columna nombre localice el servicio "Conexión compartida a Internet (ICS)" y haga doble clic en el. * En Windows XP en la columna nombre localice el servicio "Conexión de seguridad a Internet (ICF) / Conexión compartida a Internet (ICS)" y haga doble clic en el. 3. En la opción "Tipo de inicio" seleccione en el menú desplegable "Automático". 4. Bajo la opción "Estado del servicio" presione el botón "Iniciar". 5. Haga clic en el botón "Aceptar". 6. Reinicie el equipo. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1567 Año 8, jueves 21 de octubre de 2004