Mostrando mensaje 623     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1574 Año 8, jueves 28 de octubre de 2004 Fecha: Jueves, 28 de Octubre, 2004  05:22:31 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1574 Año 8, jueves 28 de octubre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Ejecución de código en RealPlayer/RealOne (DUNZIP32.DLL) 2 - W32/Bagz.F. Desactiva cortafuegos de Windows 3 - W32/Liber.I. Se propaga en un mensaje sobre terrorismo _____________________________________________________________ 1 - Ejecución de código en RealPlayer/RealOne (DUNZIP32.DLL) _____________________________________________________________ http://www.vsantivirus.com/vul-real-dunzip-271004.htm Ejecución de código en RealPlayer/RealOne (DUNZIP32.DLL) Por Angela Ruiz angela@videosoft.net.uy Según informa Secunia, eEye Digital Security ha reportado una vulnerabilidad en RealPlayer y RealOne, que puede ser explotada por usuarios maliciosos para comprometer el sistema afectado. La vulnerabilidad es causada por un error de límites (desbordamiento de búfer), en la librería de compresión DUNZIP32.DLL, cuando se procesan los archivos con skins para la interfase del reproductor. DUNZIP32.DLL es utilizada por RealPlayer y otra variedad de programas, incluido el propio Windows, que corrigió un fallo similar en uno de sus boletines de octubre de 2004 (ver "MS04- 034 Vulnerabilidad en carpetas comprimidas (873376)", http://www.vsantivirus.com/vulms04-034.htm). En el caso de los productos de RealNetworks, un atacante podría construir un archivo con skins (comprimido), de tal forma que pudiera ejecutar código malicioso en el equipo del usuario afectado, cuando éste intentara abrirlo con un RealPlayer o un RealOne vulnerable. La vulnerabilidad afecta a las siguientes versiones: - RealPlayer 10.5 anterior al build 6.0.12.1056 - RealPlayer 10 - RealOne Player v2 - RealOne Player v1 Las versiones posteriores ya no son afectadas (RealNetworks publicó estas versiones recientemente). Para actualizarse, los usuarios deben seleccionar la opción "Buscar actualizaciones" del menú Herramientas. Más información (en español): www.service.real.com/help/faq/security/041026_player/ES-XM/ * Créditos: eEye Digital Security * Referencias: RealNetworks, Inc. lanza una actualización de seguridad para resolver puntos vulnerables. www.service.real.com/help/faq/security/041026_player/ES-XM/ RealPlayer/RealOne "DUNZIP32.dll" Buffer Overflow Vulnerability http://secunia.com/advisories/12869/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Bagz.F. Desactiva cortafuegos de Windows _____________________________________________________________ http://www.vsantivirus.com/bagz-f.htm Nombre: W32/Bagz.F Nombre Nod32: Win32/Bagz.F Tipo: Gusano de Internet Alias: W32.Bagz.F@mm, WORM_BAGZ.E, I-Worm.Bagz.f, W32/Bagz.f@MM , W32/Bagz-E, W32/Bagz.gen@MM Fecha: 27/oct/04 Plataforma: Windows 32-bit Tamaño: 70,146 bytes Gusano que intenta deshabilitar el cortafuegos de Windows XP. Su presencia en un sistema infectado, resulta en una notoria caída de rendimiento en la conexión a Internet. Se propaga por correo electrónico en forma masiva, utilizando su propio motor SMTP, a direcciones obtenidas en archivos de la máquina infectada. Utiliza remitentes falsos. Los mensajes tienen las siguientes características: De: [una dirección falsa] Asunto: [uno de los siguientes] - Administrator - Allert! - Amirecans - ASAP - Att - attach - attachments - best regards - contract - Have a nice day - Hello - Hi - Money - office - please responce - re: Andrey - re: order - re: please - Read this - Russian's - text - toxic - urgent - Vasia - waiting - Warning Texto del mensaje: [uno de los siguientes] Ejemplo 1: Hi Did you get the previous document I attached for you? I resent it in this email just in case, because I really need you to check it out asap. Best Regards Ejemplo 2: Hi I made a mistake and forgot to click attach on the previous email I sent you. Please give me your opinion on this opportunity when you get a chance. Best Regards Ejemplo 3: Hi I was supposed to send you this document yesterday. Sorry for the delay, please forward this to your family if possible. It contains important info for both of you. Best Regards Ejemplo 4: Hi Sorry, I forgot to send an important document to you in that last email. I had an important phone call. Please checkout attached doc file when you have a moment. Best Regards Ejemplo 5: Hi I was in a rush and I forgot to attach an important document. Please see attached doc file. Best Regards Ejemplo 6: Sorry to bother you, but I am having a problem receiving your emails. I am responding to your last email in the attached file. Please get back to me if there is any problem reading the attachment. Ejemplo 7: I am responding to your last email in the attached file. I had a delivery problem with your inbox, so maybe you'll receive this now. Ejemplo 8: Can you please check out the email I have attached? For some reason, I received only part of your last several emails. I want to make sure that there are no problems with either of our accounts. This email is being sent as attachment because it was previously blocked by your email filters. Please view the attachment and respond. Thanks Ejemplo 9: I resent this email as attachment because it was previously blocked by your email filters. Please read the attachment and respond. Thanks Ejemplo 10: I apologize, but I need you to verify that I have the correct contact info for you. My system crashed last weekend and I lost most of my friends and work contacts. Please check the attached (.pdf) and please let me know if your info is current. Ejemplo 11: My last email to you was returned. The reason is that I am not currently added to your "allowed" contact list. Please add my updated contact info provided in the attached (.pdf) file so I can send you emails in the future. Sincerely Ejemplo 12: I have updated my email address See the (.pdf) file attached and please respond if you have any questions. Ejemplo 13: We have made recent updates to our database. Please verify your mailing address on file is correct. We have attached a (.pdf) sheet for you to use for your response. Ejemplo 14: Hello Our contact information has changed. See the attached (.pdf) sheet for details. Sincerely, Ejemplo 15: ***URGENT: SERVICE SHUTDOWN NOTICE*** Due to your failure to comply with our email Rules and Regulations, your email account has been temporarily suspended for 24 hours unless we are contacted regarding this situation. You must read the attached document for further instructions. Failure to comply will result in termination of your account. Regards, Net Operator ***URGENT: SERVICE SHUTDOWN NOTICE*** Ejemplo 16: ***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!*** You are currently unable to send emails. This may be a billing issue. Please call the billing center. The # for the billing office is located in the attached contact list for your convenience. ***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!*** Ejemplo 17: ***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM*** Hello, The previous email you sent has been recognized as spam. This means your email was not delivered to your friend or client. You must open the attached file to receive more information. ***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM*** Ejemplo 18: Hello, What version of windows you are using? This last document I received from you came out weird. Please see the attached word file and resend the file to me. Many thanks, User Ejemplo 19: Hello, My PC crashed while I was sending that last email. I have re-attached the document of yours that I discovered. Please read attached document and respond ASAP. Sincerely, User Ejemplo 20: Hello, Your email was sent in an INVALID format. To verify this email was sent from you, simply open the attached email (.eml) file and click yes in the sender options box. Thank You, User Ejemplo 21: Hello, Your email was received. YOUR REPLY IS URGENT! Please view the attached text file for instructions. Regards, User Ejemplo 22: Hello, I was in a hurry and I forgot to attach an important document. Please see attached. Best Regards, User Ejemplo 23: Hello, I resent this email as attachment because it was previously blocked by your email filters. Please read the attachment and respond. Thanks,User Ejemplo 24: Hello, Sorry, I forgot to attach the new contact information. Please view the attached (.pdf) contact sheet. Sincerely, User Datos adjuntos: [uno de los siguientes] about.doc [espacios] .exe about.zip admin.doc [espacios] .exe admin.zip archivator.doc [espacios] .exe archivator.zip archives.doc [espacios] .exe archives.zip ataches.doc [espacios] .exe ataches.zip backup.doc [espacios] .exe backup.zip docs.doc [espacios] .exe docs.zip documentation.doc [espacios] .exe documentation.zip help.doc [espacios] .exe help.zip inbox.doc [espacios] .exe inbox.zip manual.doc [espacios] .exe manual.zip outbox.doc [espacios] .exe outbox.zip payment.doc [espacios] .exe payment.zip photos.doc [espacios] .exe photos.zip rar.doc [espacios] .exe rar.zip readme.doc [espacios] .exe readme.zip save.doc [espacios] .exe save.zip sqlssl.doc [espacios] .exe zip.doc [espacios] .exe zip.zip Los archivos ZIP contienen una copia del gusano con una o dos extensiones separadas por espacios (JPG y PIF). Cuando se ejecuta, crea los siguientes archivos: c:\windows\system32\sqlssl.doc [espacios] .exe c:\windows\system32\sysinfo32.exe c:\windows\system32\trace32.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). El gusano crea la siguiente entrada en el registro: HKLM\SYSTEM\CurrentControlSet\Services\ALEXORA Esto genera un servicio llamado"Windows Secure SSL" ejecutando TRACE32.EXE. Deshabilita el cortafuegos de Windows XP, e instala su propio driver de redes para eludir el cortafuegos de la red local. También puede descargar y ejecutar otros archivos desde Internet. Busca direcciones electrónicas a las que luego se envía en mensajes como los descriptos antes, en archivos del equipo infectado con las siguientes extensiones: .dbx .htm .tbb .tbi .txt El gusano evita enviarse a direcciones con las siguientes cadenas en sus nombres: @avp @foo @iana @messagelab @microsoft abuse admin administrator@ all@ anyone@ bsd bugs@ cafee certific certs@ contact@ contract@ feste free-av f-secur gold- gold-certs@ google help@ hostmaster@ icrosoft info@ kasp linux listserv local netadmin@ news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support support@ unix update webmaster@ winrar winzip También modifica el archivo HOSTS de Windows, para impedir que el usuario infectado pueda acceder a los siguientes sitios de Internet: ad .doubleclick .net ad .fastclick .net ads .fastclick .net ar .atwola .com atdmt .com avp .com avp .ch avp .ru awaps .net banner .fastclick .net banners .fastclick .net ca .com click .atdmt .com clicks .atdmt .com dispatch .mcafee .com download .mcafee .com download .microsoft .com downloads .microsoft .com engine .awaps .net fastclick .net f-secure .com ftp .f-secure .com ftp .sophos .com go .microsoft .com liveupdate .symantec .com mast .mcafee .com mcafee .com media .fastclick .net msdn .microsoft .com my-etrust .com nai .com networkassociates .com office .microsoft .com phx .corporate-ir .net secure .nai .com securityresponse .symantec .com service1 .symantec .com sophos .com spd .atdmt .com support .microsoft .com symantec .com update .symantec .com updates .symantec .com us .mcafee .com vil .nai .com viruslist .ru windowsupdate .microsoft .com www .avp .com www .avp .ch www .avp .ru www .awaps .net www .ca .com www .fastclick .net www .f-secure .com www .kaspersky .ru www .mcafee .com www .my-etrust .com www .nai .com www .networkassociates .com www .sophos .com www .symantec .com www .trendmicro .com www .viruslist .ru www3 .ca .com También elimina procesos y entradas en el registro, de múltiples aplicaciones de seguridad, relacionadas con los siguientes archivos: 804mbd1.chk 804mbd1.img aboutplg.dll alert.zap appinit.ini apwcmdnt.dll apwutil.dll ashavast.exe ashbug.exe ashchest.exe ashdisp.exe ashldres.dll ashlogv.exe ashmaisv.exe ashpopwz.exe ashquick.exe ashserv.exe ashsimpl.exe ashskpcc.exe ashskpck.exe aswboot.exe aswregsvr.exe aswupdsv.exe avcompbr.dll avres.dll bootwarn.exe camupd.dll ccavmail.dll ccimscan.dll ccimscn.exe cerbprovider.pvx cfgwiz.exe cfgwzres.dll defalert.dll djsalert.dll dunzip32.dll edisk.dll email.zap emscnres.dll filter.zap firewall.zap framewrk.dll ftscnres.dll idlock.zap imscnbin.inf imscnres.inf ltchkres.dll mcappins.exe mcavtsub.dll mcinfo.exe mcmnhdlr.exe mcscan32.dll mcshield.dll mcshield.exe mcurial.dll mcvsctl.dll mcvsescn.exe mcvsftsn.exe mcvsmap.exe mcvsrte.exe mcvsscrp.dll mcvsshl.dll mcvsshld.exe mcvsskt.dll mcvsworm.dll mghtml.exe mpfagent.exe mpfconsole.exe mpfservice.exe mpftray.exe mpfui.dll mpfupdchk.dll mpfwizard.exe mvtx.exe n32call.dll n32exclu.dll naiann.dll naievent.dll navap32.dll navapscr.dll navapsvc.exe navapw32.dll navapw32.exe navcfgwz.dll navcomui.dll naverror.dll navevent.dll navlcom.dll navlnch.dll navlogv.dll navlucbk.dll navntutl.dll navoptrf.dll navopts.dll navprod.dll navshext.dll navstats.dll navstub.exe navtasks.dll navtskwz.dll navui.dll navui.nsi navuihtm.dll navw32.exe navwnt.exe netbrext.dll ntclient.dll oeheur.dll officeav.dll opscan.exe outscan.dll outscres.dll patch25d.dll patchw32.dll persfw.exe pfwadmin.exe probegse.dll programs.zap ptchinst.dll qconres.dll qconsole.exe qspak32.dll quar32.dll quarantine quaropts.dat s32integ.dll s32navo.dll savrt.sys savrt32.dll savrtpel.sys savscan.exe scan.dat scandlvr.dll scandres.dll scanmgr.dll scanserv.dll scriptui.dll scrpres.dll scrpsbin.inf scrstres.inf sched.exe sdpck32i.dll sdsnd32i.dll sdsok32i.dll sdstp32i.dll security.zap shextbin.inf shextres.inf shlres.dll ssleay32.dll statushp.dll symnavo.dll tutorwiz.dll vsagntui.dll vsavpro.dll vsdb.dll vsmon.exe vsoui.dll vsoupd.dll vsowow.dll vsruledb.dll vsvault.dll wormres.dll zatutor.exe zauninst.exe zav.zap zl_priv.htm zlclient.exe zlparser.dll zonealarm.exe * Reparación manual * Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecutar Administrador de tareas. a. En Windows 95/98/Me pulse CTRL+ALT+SUPR (ver "Utilización de la herramienta "Process Explorer") b. En Windows NT/2K/XP pulse CTRL+SHIFT+ESC y seleccione la lengüeta "Procesos" 3. En la lista de programas (nombre de imagen) localice el siguiente proceso: Trace32.exe 4. Seleccione ese nombre y haga clic en "Terminar proceso" o "Finalizar tarea". 5. Para asegurarse de haberlo quitado, vuelva a ejecutar los pasos 2, 3 y 4 si fuera necesario. * Utilización de la herramienta "Process Explorer" Para completar exitosamente el proceso de eliminación, es necesario detener la ejecución del virus en memoria. Puede usarse el administrador de tareas de Windows como se indicó antes, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE. Para la finalización de los procesos indicados, localice y "mate" (Kill Process), cada proceso cuyo nombre se menciona en los pasos anteriores (ver "Eliminación de procesos del virus en memoria"), buscándolo bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer". * Buscar y detener el servicio (Windows XP): 1. Desde Inicio, Ejecutar, escriba SERVICES.MSC y pulse Enter. 2. En la lista de servicios busque "Windows Secure SSL". 3. Haga doble clic sobre ese servicio, y haga clic en el botón "Detener" si corresponde. 4. Cambie el "Tipo de inicio" a Manual. 5. Haga clic en "Aceptar" y cierre la ventana de Servicios. * Antivirus 1. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 2. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\sqlssl.doc [espacios] .exe c:\windows\system32\sysinfo32.exe c:\windows\system32\trace32.exe Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \ALEXORA 3. Pinche en la carpeta "ALEXORA" y bórrela. 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. * Información adicional * Activar el cortafuegos de Windows XP y la conexión compartida de Windows 2000 * En Windows XP SP2 1. Abra el Panel de Control, haga doble clic en el icono "Centro de Seguridad" 2. Active el cortafuego de Windows (si este se encuentra desactivado). 3. Cierra la ventana del cortafuego, cierre el Centro de Seguridad, por ultimo cierre el panel de control. * En Windows 2000 o Windows XP SP1 1. Haga clic en el botón Inicio, Ejecutar e ingrese lo siguiente: services.msc 2. Presione el botón Aceptar. * En Windows 2000 en la columna nombre localice el servicio "Conexión compartida a Internet (ICS)" y haga doble clic en el. * En Windows XP en la columna nombre localice el servicio "Conexión de seguridad a Internet (ICF) / Conexión compartida a Internet (ICS)" y haga doble clic en el. 3. En la opción "Tipo de inicio" seleccione en el menú desplegable "Automático". 4. Bajo la opción "Estado del servicio" presione el botón "Iniciar". 5. Haga clic en el botón "Aceptar". 6. Reinicie el equipo. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Liber.I. Se propaga en un mensaje sobre terrorismo _____________________________________________________________ http://www.vsantivirus.com/liber-i.htm Nombre: W32/Liber.I Nombre Nod32: Win32/Liber.I Tipo: Gusano de Internet Alias: Liber.I, Win32/Liber.I, W32/Famus.C.worm, W32/RED.J Fecha: 27/oct/04 Plataforma: Windows 32-bit Tamaño: 155,647 bytes Este gusano, escrito en Visual Basic y de origen cubano, fue detectado el 27 de octubre de 2004. El gusano utiliza la librería MSVBVM60.DLL de Windows (Visual Basic Virtual Machine), de modo que puede fallar en aquellos sistemas que no la tengan. La misma es instalada por otras aplicaciones como Office por ejemplo. Cuando el gusano está activo en memoria, el rendimiento general de la computadora infectada puede caer sensiblemente. Al ejecutarse, el gusano muestra una ventana de error falsa, con el siguiente texto: File corrupted File corrupted or bad format [ Aceptar ] Inmediatamente después crea los siguientes archivos en el sistema: c:\windows\system\video.scr c:\windows\system\SMTP.ocx \TEMP\attck0234.pif \TEMP\microsoft office.pif \TEMP\Svhost.pif NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. Para autoejecutarse en cada reinicio, el gusano crea las siguientes entradas: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run NortonUtility = c:\recycled\NortonRecycled.pif HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Sav32 = c:\recycled\video.scr Nota: El archivo "NortonRecycled.pif" puede no ser creado. Si la carpeta C:\RECYCLED no existe en la computadora infectada, el gusano no la crea. Cómo en Windows XP, por defecto esta carpeta (la papelera de reciclaje), no existe con ese nombre, el gusano no se ejecutará luego del primer reinicio (aunque si realizará el resto de sus acciones). Cuando la computadora se reinicia (no en XP), y la fecha actual se encuentra entre los días 17 y 21 de cualquier mes, el gusano vuelve a mostrar el mensaje de error anterior. La única opción posible para continuar, es pulsar el botón aceptar o cerrar la ventana con el aspa de cierre. En cualquiera de los dos casos, en ese momento se mostrará una pantalla negra que ocupa todo el espacio del monitor, con el siguiente texto en letras blancas: Esta computadora ha sido infectada por el virus LIBERTAD. Como protesta por la violación del derecho a la libertad de expresión en Cuba. En estos momentos toda la información de su disco duro esta siendo borrada El Hobbit A pesar de lo que indica el mensaje, el gusano no borra ningún archivo. La pantalla negra generada solo oculta el escritorio de Windows. Un usuario puede detener el proceso del gusano, si pulsa en ese momento CTRL+ALT+DEL y selecciona en la lista de procesos (Windows 2000, XP, etc.) la imagen VIDEO.SCR (y/o NORTONRECYCLED.PIF si existe). El gusano puede propagarse en un mensaje como el siguiente (o ser enviado en forma de spam con otro mensaje): Asunto: Més terrorismo este año \ More terrorism this year Texto del mensaje: Password: "cnn" Ultimas declaraciones de Bin Laden Reenvme este video a todo el mundo. ====================================================== Password: "cnn" Last speech from Bin Laden Please forwards this video to everybody. Datos adjuntos: videos.zip El adjunto está protegido por contraseña, la cuál se indica en el texto del mensaje. Las direcciones a las que se envía, son tomadas de archivos de la máquina infectada, con las siguientes extensiones: .dbx .doc .doc .eml .htm .htt .wab El gusano intenta enviar información de la computadora infectada al autor del gusano. En el código, se encuentran también las siguientes direcciones y textos: hobbit @ cubalibre .com internetprovider .com MICROSOFT SEGURMATICA NORTON VIR KASPER LOCALHOST DAEMON * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\video.scr c:\windows\system\SMTP.ocx \TEMP\attck0234.pif \TEMP\microsoft office.pif \TEMP\Svhost.pif NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: NortonUtility Sav32 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1574 Año 8, jueves 28 de octubre de 2004