Mostrando mensaje 624     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1575 Año 8, viernes 29 de octubre de 2004 Fecha: Viernes, 29 de Octubre, 2004  03:56:52 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1575 Año 8, viernes 29 de octubre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Vulnerabilidad en IFRAME permite ataque remoto en IE 2 - Vulnerabilidad en control ActiveX HHCTRL, en IE 3 - Grave vulnerabilidad en Quicktime para Windows 4 - W32/Zafi.C. Sobrescribe ejecutables del sistema 5 - W32/Bagz.E. Desactiva cortafuegos de Windows _____________________________________________________________ 1 - Vulnerabilidad en IFRAME permite ataque remoto en IE _____________________________________________________________ http://www.vsantivirus.com/vul-ie-iframe-2810004.htm Vulnerabilidad en IFRAME permite ataque remoto en IE Por Angela Ruiz angela@videosoft.net.uy Ha sido reportada una nueva vulnerabilidad en el navegador Internet Explorer de Microsoft, provocada por un desbordamiento de búfer, y que puede ser explotada remotamente. Este problema ocurre por insuficientes controles de los límites que maneja el programa para el funcionamiento de algunas de sus rutinas. Para explotarla, un usuario remoto puede insertar un código especialmente modificado en una etiqueta IFRAME de una página HTML. Cuando el usuario visualice esa página, el programa dejará de responder (ataque de denegación de servicio). También podría ser posible la ejecución arbitraria de código. Este asunto afecta a los siguientes productos: Microsoft Internet Explorer 6.0 SP1 y Microsoft Internet Explorer 6.0 (Windows 2000, 2000 SP4, 98, 98 SE, ME, NT, Server 2003, XP). Una prueba de concepto está disponible en Internet. No hay solución publicada al respecto. * Créditos: ned <nd@felinemenace.org> y Berend-Jan Wever <skylined@edup.tudelft.nl> * Referencias: Message: python does mangleme (with IE bugs!) http://www.securityfocus.com/archive/1/379261 Message: Re: python does mangleme (with IE bugs!) http://www.securityfocus.com/archive/1/379341 Microsoft Internet Explorer Malformed IFRAME Remote Buffer Overflow Vulnerability http://www.securityfocus.com/bid/11515/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Vulnerabilidad en control ActiveX HHCTRL, en IE _____________________________________________________________ http://www.vsantivirus.com/vul-ie-hhctrl004.htm Vulnerabilidad en control ActiveX HHCTRL, en IE Por Angela Ruiz angela@videosoft.net.uy Se ha reportado una vulnerabilidad en el Internet Explorer, que puede ser utilizada por piratas informáticos para provocar un ataque del tipo CROSS-SITE-SCRIPTING (XSS). Este tipo de ataque permite a un usuario remoto introducir en el campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado en la máquina de la víctima, y en el contexto de un dominio exterior. La vulnerabilidad se produce en el control ActiveX llamado HHCTRL. No existe solución de parte de Microsoft, y está disponible una prueba de concepto (PoC) en Internet. El fallo afecta a Microsoft Internet Explorer 6.0 con SP2 instalado. Se sugiere utilizar la siguiente configuración, que previene se puedan producir ataques maliciosos que intenten aprovecharse de esta vulnerabilidad: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm * Créditos: Roozbeh Afrasiabi * Referencias: Microsoft Internet Explorer HHCtrl ActiveX Control Cross- Domain Scripting Vulnerability http://www.securityfocus.com/bid/11521/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Grave vulnerabilidad en Quicktime para Windows _____________________________________________________________ http://www.vsantivirus.com/vul-quicktime-281004.htm Grave vulnerabilidad en Quicktime para Windows Por Angela Ruiz angela@videosoft.net.uy John Heasman de NGSSoftware, informa haber descubierto una vulnerabilidad de alto riesgo en Quicktime para Windows. El fallo permite la ejecución arbitraria de código desde un entorno HTML. Se encuentran afectadas todas las versiones anteriores a la versión 6.5.2 de Quicktime (inclusive ésta). Apple no ha publicado aún una versión actualizada. NGSSoftware no aporta detalles del problema, y de acuerdo a su política de divulgación de vulnerabilidades, dará una ventana de tres meses para que el fabricante y los usuarios actualicen sus versiones, antes de publicar la información completa recién el 28 de enero de 2005. Apple Quicktime es un reproductor que permite al usuario visualizar contenido de audio y video tanto local como remoto. * Créditos: NGSSoftware Insight Security Research (http://www.nextgenss.com/) * Más información: High Risk Vulnerability in Quicktime for Windows http://www.nextgenss.com/advisories/qt1.txt Apple Security Updates http://www.apple.com/support/security/security_updates.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Zafi.C. Sobrescribe ejecutables del sistema _____________________________________________________________ http://www.vsantivirus.com/zafi-c.htm Nombre: W32/Zafi.C Nombre Nod32: Win32/Zafi.C Tipo: Gusano de Internet Alias: Zafi.C, Win32/Zafi.C, I-Worm.Zafi.c, W32./Zafi.C@mm, W32.Erkez.C@mm, W32/Zafi.C.worm, W32/Zafi.c@MM, W32/Zafi-C, Win32/Zafi.C@mm, WORM_ZAFI.C, Zafi.C Fecha: 28/oct/04 Plataforma: Windows 32-bit Tamaño: 15,993 bytes (FSG) Este gusano se propaga por correo electrónico y recursos compartidos en redes. Si el gusano localiza un archivo .EXE cuyo nombre coincida con una determinada lista de productos antivirus y cortafuegos, lo sobrescribe con su propio código. Si localiza una carpeta con algunos de esos nombres, el gusano borra todos los archivos .EXE en dicha carpeta y en todas sus subcarpetas. También puede deshabilitar el Centro de seguridad de Windows XP SP2. El gusano se envía a todos los contactos de la libreta de direcciones de Windows de la máquina infectada. Utiliza como remitente falso, algunas de esas mismas direcciones. También busca direcciones de correo en archivos de todos los discos y carpetas, con la siguientes extensiones: .adb .asp .dbx .eml .htm .mbx .php .pmr .sht .tbb .txt .wab El gusano utiliza su propio motor SMTP para enviarse por correo, en mensajes como los siguientes: Ejemplo 1: De: [falso] Asunto: [uno de los siguientes] - call us back! - CNM, Technology Company! - job details! - Network monitoring! - offer! - please read! - Thank you! Texto del mensaje: Our company ( CNM, Technology Company , [año actual]) is the third fastest growing technology company in [año actual]. Job Type: System and Network monitoring . Requirements: Windows XP, 2000, 98 minimal expertise,and networking skills. If you accept our offer , please read the job details document for the full description, and call us back . Thank you , David Morgen, Office Manager (CNM, Tech. [año actual]) Email: ' Datos adjuntos: mail title = [texto del mensaje] Ejemplo 2: De: [dirección falsa] Asunto: [uno de los siguientes] - give a little hope! - Please read the full story - Please, send forward this letter! - send forward - very sick little girl Texto del mensaje: Please, send forward this letter, and you can give a little hope to a very sick little girl, who is dying in the hospital, in [año actual]. Please read the full story, and send forward!! Datos adjuntos: mail title = [texto del mensaje] Ejemplo 3: De: [dirección falsa] Asunto: Hey buddy !** Can you send me one more of your free mp3 list ? Please,thanks! Texto del mensaje: Hey buddy !** Can you send me one more of your free mp3 list ? Please,thanks! Datos adjuntos: mail title = [texto del mensaje] Ejemplo 4: De: [dirección falsa] Asunto: [uno de los siguientes] - please hurry! - waiting for you! - Your lover! Texto del mensaje: Your lover is waiting for you tomorrow, so please hurry,hurry because.. ' Datos adjuntos: mail title = [texto del mensaje] Ejemplo 5: De: [dirección falsa] Asunto: [uno de los siguientes] - Call me - I thought maybe we can... - I`m off - Miss you baby - okay - Whats you doing tomorrow? Texto del mensaje: Miss you baby! Whats you doing tomorrow? I`m off, so... I thought maybe we can... Call me okay, before it`s too late Datos adjuntos: mail title = [texto del mensaje] El archivo adjunto puede tener extensión .EXE o .SCR, y el texto de los mensajes pueden estar escritos en diferentes idiomas. Para propagarse por la red, libera copias de si mismo en todas las carpetas cuyos nombres contengan las siguientes cadenas: shar upload downlo Se copia en esas carpetas con nombres como los siguientes (entre otros): doom3 keygen.exe Install_AIM.exe uninstall.exe Las copias muestran un icono con el símbolo de Word. [ver imagen en http://www.vsantivirus.com/zafi-c.htm] Está programado para lanzar ataques de denegación de servicio (DoS), a los siguientes sitios: www.google.com www.microsoft.com www.miniszterelnok.hu Este último es el sitio oficial del Primer Ministro húngaro. También es capaz de finalizar los procesos cuyos nombres contengan las siguientes cadenas: regedit msconfig task Cuando se ejecuta, crea los siguientes archivos: c:\windows\system32\svchost.com c:\windows\system32\svchost.con Note la semejanza con SVCHOST.EXE, un archivo legítimo de Windows (Generic Host Process for Win32 Services). También crea archivos como los siguientes: c:\tm.txt c:\windows\system32\svchosr.co? Donde "?" es un número. Estos archivos almacenan las direcciones de correo obtenidas del sistema infectado, y usadas luego para enviar sus mensajes infectados. NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). El gusano evita enviarse a direcciones con las siguientes cadenas: aol cafee google help hoo.com hotmail.co info kasper micro msn panda sopho suppor syma trend vir webm Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run _svchost.con = "c:\windows\system32\svchost.com" También crea la siguiente entrada en el registro: HKLM\Software\Microsoft\UpdateZ3 Modifica los siguientes valores del registro, para deshabilitar algunos antivirus y otras aplicaciones de seguridad, incluido el nuevo "Centro de seguridad" de Windows XP SP2: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess \Parameters\FirewallPolicy\StandardProfile DisableNotifications = "1" EnableFirewall = "0" DoNotAllowExceptions = "0" HKLM\Software\Microsoft\Security Center AntiVirusDisableNotify = "1" AntiVirusOverride = "1" FirewallDisableNotify = "1" FirewallOverride = "1" UpdatesDisableNotify = "1" El gusano intenta sobrescribir archivos con extensión .EXE. La mayoría de estos archivos son los ejecutables de muchos antivirus y otras aplicaciones de seguridad. Crea el siguiente mutex para no ejecutarse más de una vez en memoria: UpdateZ3 * Reparación manual IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos, dependerá del daño causado por el troyano desde el momento de ocurrida la infección, hasta el momento de su detección. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \UpdateZ3 3. Haga clic en la carpeta "UpdateZ3" y bórrela. 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Security Center 5. Haga clic en la carpeta "Security Center" y cambie los valores en el panel de la derecha, por los siguientes: AntiVirusDisableNotify = "0" AntiVirusOverride = "0" FirewallDisableNotify = "0" FirewallOverride = "0" UpdatesDisableNotify = "0" 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: _svchost.con4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Bagz.E. Desactiva cortafuegos de Windows _____________________________________________________________ http://www.vsantivirus.com/bagz-e.htm Nombre: W32/Bagz.E Nombre Nod32: Win32/Bagz.E Tipo: Gusano de Internet Alias: Bagz.E, Win32/Bagz.E, Win32.Bagz.C, Win32/Bagz.C.Worm, I-Worm.Bagz.d, W32/Bagz.D@mm, W32/Bagz.e@MM Fecha: 27/oct/04 Plataforma: Windows 32-bit Tamaño: 155,138 bytes (UPX) Gusano que intenta deshabilitar el cortafuegos de Windows XP. Su presencia en un sistema infectado, resulta en una notoria caída de rendimiento en la conexión a Internet. Se propaga por correo electrónico en forma masiva, utilizando su propio motor SMTP, a direcciones obtenidas en archivos de la máquina infectada. Utiliza remitentes falsos. Los mensajes tienen las siguientes características: De: [una dirección falsa] Asunto: [uno de los siguientes] - Administrator - Allert! - Amirecans - ASAP - Att - attach - attachments - best regards - contract - Have a nice day - Hello - Money - office - please responce - re: Andrey - re: order - re: please - Read this - Russian's - text - toxic - urgent - Vasia - waiting - Warning Texto del mensaje: [uno de los siguientes] Ejemplo 1: Hi Did you get the previous document I attached for you? I resent it in this email just in case, because I really need you to check it out asap. Best Regards Ejemplo 2: Hi I made a mistake and forgot to click attach on the previous email I sent you. Please give me your opinion on this opportunity when you get a chance. Best Regards Ejemplo 3: Hi I was supposed to send you this document yesterday. Sorry for the delay, please forward this to your family if possible. It contains important info for both of you. Best Regards Ejemplo 4: Hi Sorry, I forgot to send an important document to you in that last email. I had an important phone call. Please checkout attached doc file when you have a moment. Best Regards Ejemplo 5: Hi I was in a rush and I forgot to attach an important document. Please see attached doc file. Best Regards Ejemplo 6: Sorry to bother you, but I am having a problem receiving your emails. I am responding to your last email in the attached file. Please get back to me if there is any problem reading the attachment. Ejemplo 7: I am responding to your last email in the attached file. I had a delivery problem with your inbox, so maybe you'll receive this now. Ejemplo 8: Can you please check out the email I have attached? For some reason, I received only part of your last several emails. I want to make sure that there are no problems with either of our accounts. This email is being sent as attachment because it was previously blocked by your email filters. Please view the attachment and respond. Thanks Ejemplo 9: I resent this email as attachment because it was previously blocked by your email filters. Please read the attachment and respond. Thanks Ejemplo 10: I apologize, but I need you to verify that I have the correct contact info for you. My system crashed last weekend and I lost most of my friends and work contacts. Please check the attached (.pdf) and please let me know if your info is current. Ejemplo 11: My last email to you was returned. The reason is that I am not currently added to your "allowed" contact list. Please add my updated contact info provided in the attached (.pdf) file so I can send you emails in the future. Sincerely Ejemplo 12: I have updated my email address See the (.pdf) file attached and please respond if you have any questions. Ejemplo 13: We have made recent updates to our database. Please verify your mailing address on file is correct. We have attached a (.pdf) sheet for you to use for your response. Ejemplo 14: Hello Our contact information has changed. See the attached (.pdf) sheet for details. Sincerely, Ejemplo 15: ***URGENT: SERVICE SHUTDOWN NOTICE*** Due to your failure to comply with our email Rules and Regulations, your email account has been temporarily suspended for 24 hours unless we are contacted regarding this situation. You must read the attached document for further instructions. Failure to comply will result in termination of your account. Regards, Net Operator ***URGENT: SERVICE SHUTDOWN NOTICE*** Ejemplo 16: ***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!*** You are currently unable to send emails. This may be a billing issue. Please call the billing center. The # for the billing office is located in the attached contact list for your convenience. ***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!*** Ejemplo 17: ***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM*** Hello, The previous email you sent has been recognized as spam. This means your email was not delivered to your friend or client. You must open the attached file to receive more information. ***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM*** Ejemplo 18: Hello, What version of windows you are using? This last document I received from you came out weird. Please see the attached word file and resend the file to me. Many thanks, User Ejemplo 19: Hello, My PC crashed while I was sending that last email. I have re-attached the document of yours that I discovered. Please read attached document and respond ASAP. Sincerely, User Ejemplo 20: Hello, Your email was sent in an INVALID format. To verify this email was sent from you, simply open the attached email (.eml) file and click yes in the sender options box. Thank You, User Ejemplo 21: Hello, Your email was received. YOUR REPLY IS URGENT! Please view the attached text file for instructions. Regards, User Ejemplo 22: Hello, I was in a hurry and I forgot to attach an important document. Please see attached. Best Regards, User Ejemplo 23: Hello, I resent this email as attachment because it was previously blocked by your email filters. Please read the attachment and respond. Thanks,User Ejemplo 24: Hello, Sorry, I forgot to attach the new contact information. Please view the attached (.pdf) contact sheet. Sincerely, User Datos adjuntos: [uno de los siguientes] about.doc [espacios] .exe about.zip admin.doc [espacios] .exe admin.zip archivator.doc [espacios] .exe archivator.zip archives.doc [espacios] .exe archives.zip ataches.doc [espacios] .exe ataches.zip backup.doc [espacios] .exe backup.zip docs.doc [espacios] .exe docs.zip documentation.doc [espacios] .exe documentation.zip help.doc [espacios] .exe help.zip inbox.doc [espacios] .exe inbox.zip manual.doc [espacios] .exe manual.zip outbox.doc [espacios] .exe outbox.zip payment.doc [espacios] .exe payment.zip photos.doc [espacios] .exe photos.zip rar.doc [espacios] .exe rar.zip readme.doc [espacios] .exe readme.zip save.doc [espacios] .exe save.zip zip.doc [espacios] .exedoc.zip zip.zip Los archivos ZIP contienen una copia del gusano con el mismo nombre del adjunto y dos extensiones separadas por espacios (.DOC y .EXE). Cuando se ejecuta, crea los siguientes archivos: c:\windows\system32\rpc32.exe c:\windows\system32\run32.exe c:\windows\system32\sysboot.doc [espacios] .exe También crea los siguientes archivos que solo contendrán datos almacenados por el gusano: c:\windows\system32\ipdb.dll c:\windows\system32\jobdb.dll c:\windows\system32\wdate.dll NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). El gusano crea un servicio llamado "RUN32" para ejecutarse en cada reinicio del sistema. El servicio muestra el nombre "Network Explorer", y la descripción "Starts and configures accessibility tools from one window". Puede deshabilitar el cortafuegos de Windows XP, e instalar su propio driver de redes para eludir el cortafuegos de la red local. También puede descargar y ejecutar otros archivos desde los siguientes dominios: ug66.biz warfed.biz Busca direcciones electrónicas a las que luego se envía en mensajes como los descriptos antes, en archivos del equipo infectado con las siguientes extensiones: .dbx .htm .tbb .tbi .txt El gusano evita enviarse a direcciones con las siguientes cadenas en sus nombres: @avp @foo @iana @messagelab @microsoft abuse admin administrator@ all@ anyone@ bsd bugs@ cafee certific certs@ contact@ contract@ feste free-av f-secur gold- gold-certs@ google help@ hostmaster@ icrosoft info@ kasp linux listserv local netadmin@ news nobody@ noone@ noreply ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support support@ unix update webmaster@ winrar winzip También modifica el archivo HOSTS de Windows, para impedir que el usuario infectado pueda acceder a los siguientes sitios de Internet: ad .doubleclick .net ad .fastclick .net ads .fastclick .net ar .atwola .com atdmt .com avp .com avp .ch avp .ru awaps .net banner .fastclick .net banners .fastclick .net ca .com click .atdmt .com clicks .atdmt .com dispatch .mcafee .com download .mcafee .com download .microsoft .com downloads .microsoft .com engine .awaps .net fastclick .net f-secure .com ftp .f-secure .com ftp .sophos .com go .microsoft .com liveupdate .symantec .com mast .mcafee .com mcafee .com media .fastclick .net msdn .microsoft .com my-etrust .com nai .com networkassociates .com office .microsoft .com phx .corporate-ir .net secure .nai .com securityresponse .symantec .com service1 .symantec .com sophos .com spd .atdmt .com support .microsoft .com symantec .com update .symantec .com updates .symantec .com us .mcafee .com vil .nai .com viruslist .ru windowsupdate .microsoft .com www .avp .com www .avp .ch www .avp .ru www .awaps .net www .ca .com www .fastclick .net www .f-secure .com www .kaspersky .ru www .mcafee .com www .my-etrust .com www .nai .com www .networkassociates .com www .sophos .com www .symantec .com www .trendmicro .com www .viruslist .ru www3 .ca .com * Reparación manual * Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecutar Administrador de tareas. a. En Windows 95/98/Me pulse CTRL+ALT+SUPR (ver "Utilización de la herramienta "Process Explorer") b. En Windows NT/2K/XP pulse CTRL+SHIFT+ESC y seleccione la lengüeta "Procesos" 3. En la lista de programas (nombre de imagen) localice el siguiente proceso: Run32.exe 4. Seleccione ese nombre y haga clic en "Terminar proceso" o "Finalizar tarea". 5. Para asegurarse de haberlo quitado, vuelva a ejecutar los pasos 2, 3 y 4 si fuera necesario. * Utilización de la herramienta "Process Explorer" Para completar exitosamente el proceso de eliminación, es necesario detener la ejecución del virus en memoria. Puede usarse el administrador de tareas de Windows como se indicó antes, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE. Para la finalización de los procesos indicados, localice y "mate" (Kill Process), cada proceso cuyo nombre se menciona en los pasos anteriores (ver "Eliminación de procesos del virus en memoria"), buscándolo bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer". * Buscar y detener el servicio (Windows XP): 1. Desde Inicio, Ejecutar, escriba SERVICES.MSC y pulse Enter. 2. En la lista de servicios busque "Windows Secure SSL". 3. Haga doble clic sobre ese servicio, y haga clic en el botón "Detener" si corresponde. 4. Cambie el "Tipo de inicio" a Manual. 5. Haga clic en "Aceptar" y cierre la ventana de Servicios. * Antivirus 1. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 2. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\ipdb.dll c:\windows\system32\jobdb.dll c:\windows\system32\rpc32.exe c:\windows\system32\run32.exe c:\windows\system32\sysboot.doc [espacios] .exe c:\windows\system32\wdate.dll Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. * Información adicional * Activar el cortafuegos de Windows XP y la conexión compartida de Windows 2000 * En Windows XP SP2 1. Abra el Panel de Control, haga doble clic en el icono "Centro de Seguridad" 2. Active el cortafuego de Windows (si este se encuentra desactivado). 3. Cierra la ventana del cortafuego, cierre el Centro de Seguridad, por ultimo cierre el panel de control. * En Windows 2000 o Windows XP SP1 1. Haga clic en el botón Inicio, Ejecutar e ingrese lo siguiente: services.msc 2. Presione el botón Aceptar. * En Windows 2000 en la columna nombre localice el servicio "Conexión compartida a Internet (ICS)" y haga doble clic en el. * En Windows XP en la columna nombre localice el servicio "Conexión de seguridad a Internet (ICF) / Conexión compartida a Internet (ICS)" y haga doble clic en el. 3. En la opción "Tipo de inicio" seleccione en el menú desplegable "Automático". 4. Bajo la opción "Estado del servicio" presione el botón "Iniciar". 5. Haga clic en el botón "Aceptar". 6. Reinicie el equipo. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1575 Año 8, viernes 29 de octubre de 2004