|
Mostrando mensaje 662
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1613 Año 8, lunes 6 de diciembre de 2004 | | Fecha: | Lunes, 6 de Diciembre, 2004 03:35:23 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1613 Año 8, lunes 6 de diciembre de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Maslan.A. Deshabilita cortafuegos de Windows XP
2 - W32/Thonic.A. Infecta archivos, se propaga por e-mail
3 - W32/Thonic.B. Infecta archivos, se propaga por e-mail
4 - W32/Wallon.F. Infecta a través de un enlace
_____________________________________________________________
1 - W32/Maslan.A. Utiliza recursos compartidos, IRC
_____________________________________________________________
http://www.vsantivirus.com/maslan-a.htm
Nombre: W32/Maslan.A
Nombre Nod32: Win32/Maslan.A
Tipo: Gusano de Internet y caballo de Troya
Alias: Email-Worm.Win32.Maslan.a, Exploit.DCOM.Gen, Exploit-
Lsass.g.gen, Win32/Maslan.A, Worm.Win32.Zusha.a, Worm/Zusha.A,
WORM_RBOT.YG, Zusha
Fecha: 5/dic/04
Plataforma: Windows 32-bit
Tamaño: 89,600 bytes
Se trata de un gusano de redes, capaz de propagarse utilizando
varios exploits, entre ellos el que se aprovecha de la
vulnerabilidad en el componente LSASS, corregida por Microsoft
en abril de 2004 (ver "MS04-011 Actualización crítica de
Windows (835732)", http://www.vsantivirus.com/vulms04-
011.htm).
Luego de ejecutarse, el gusano descarga y ejecuta archivos
adicionales de Internet. Estos archivos son a su vez troyanos
del tipo "downloaders", o sea códigos que descargan otros
programas.
Los archivos descargados, pueden eliminar los procesos de
diversas aplicaciones de seguridad, incluyendo cortafuegos.
También pueden modificar la configuración del cortafuegos de
Windows XP, de tal modo que otros programas descargados por el
gusano (troyanos), puedan comunicarse de y hacia Internet sin
el conocimiento del usuario infectado.
Finalmente, se libera y ejecuta un componente de acceso remoto
por puerta trasera (backdoor), en todos los sistemas
infectados, con la posibilidad de comunicarse entre ellos.
El gusano crea el siguiente archivo:
c:\windows\system32\exename.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows XP
y Windows Server 2003, como "c:\winnt\system32" en Windows NT
y 2000 y "c:\windows\system" en Windows 9x y ME).
Crea las siguientes entradas en el registro, para
autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\Ole
Blah service = c:\windows\system32\exename.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blah service = c:\windows\system32\exename.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Blah service = c:\windows\system32\exename.exe
El gusano puede propagarse a través de redes, copiándose en
los siguientes recursos compartidos:
admin$
c$
ipc$
Para ello utiliza la cuenta del usuario actual, o una extensa
lista interna con nombres de usuario y contraseñas.
Además, puede copiarse a sistemas infectados con otros
troyanos y gusanos que abren puertas traseras (Optix, Sub7,
Bagle, Mydoom, etc.)
También puede propagarse utilizando la aplicación DameWare
(una utilidad para la administración de sistemas de empresas
para Windows NT/2000/XP/2003).
El gusano puede actuar como un BOT de IRC (un programa que
actúa como un usuario de IRC, y está preparado para responder
o actuar automáticamente ejecutando ciertos comandos). Para
ello se conecta al siguiente servidor para recibir las
instrucciones de un usuario remoto:
irc .sykonet .org
Algunas de las acciones posibles:
- Operaciones HTTP y FTP
- Realizar ataques de denegación de servicio (DoS)
- Agregar o quitar recursos compartidos
- Habilitar o deshabilitar DCOM
- Redireccionar puertos
- Realizar varias operaciones en IRC
- Listar procesos activos
- Iniciar o terminar procesos
- Obtener contenido del portapapeles
- Capturar imagen usando la Webcam de la víctima
- Enviar correo utilizando su propio motor SMTP
- Obtener el contenido del caché de contraseñas
- Realizar escaneos de paquetes
- Capturar la salida del teclado
- Buscar otros sistemas vulnerables o infectados
- Conseguir la clave de registro de Windows
- Conseguir la clave de registro de los siguientes juegos:
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Chrome
Command and Conquer: Generals
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Command and Conquer: Tiberian Sun
Counter-Strike (Retail)
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life
Hidden & Dangerous 2
IGI 2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Neverwinter Nights (Hordes of the Underdark)
Neverwinter Nights (Shadows of Undrentide)
NHL 2002
NHL 2003
NOX
Rainbow Six III RavenShield
Shogun: Total War: Warlord Edition
Soldier of Fortune II - Double Helix
Soldiers Of Anarchy
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004
* Reparación manual
IMPORTANTE:
Después de la limpieza, no conectar el equipo a Internet,
hasta instalar el parche para la vulnerabilidad LSASS (MS04-
011). Si es necesario, descargarlo antes de proceder al resto
de la limpieza, desde el siguiente enlace para instalarlo
posteriormente:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Ole
3. Haga clic en la carpeta "Ole" y en el panel de la derecha,
bajo la columna "Datos", busque y borre la entrada que haga
referencia al siguiente archivo:
Blah service
4. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre la entrada que haga
referencia al siguiente archivo:
Blah service
6. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Datos", busque y borre la entrada
que haga referencia al siguiente archivo:
Blah service
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP y la conexión
compartida de Windows 2000
* En Windows XP SP2
1. Abra el Panel de Control, haga doble clic en el icono
"Centro de Seguridad"
2. Active el cortafuego de Windows (si este se encuentra
desactivado).
3. Cierra la ventana del cortafuego, cierre el Centro de
Seguridad, por ultimo cierre el panel de control.
* En Windows 2000 o Windows XP SP1
1. Haga clic en el botón Inicio, Ejecutar e ingrese lo
siguiente:
services.msc
2. Presione el botón Aceptar.
* En Windows 2000 en la columna nombre localice el servicio
"Internet Connection Sharing (ICS)" y haga doble clic en el.
* En Windows XP en la columna nombre localice el servicio
"Internet Connection Firewall (ICF) / Internet Connection
Sharing (ICS)" y haga doble clic en el.
3. En la opción "Tipo de inicio" seleccione en el menú
desplegable "Automático".
4. Bajo la opción "Estado del servicio" presione el botón
"Iniciar".
5. Haga clic en el botón "Aceptar".
6. Reinicie el equipo.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Thonic.A. Infecta archivos, se propaga por e-mail
_____________________________________________________________
http://www.vsantivirus.com/thonic-a.htm
Nombre: W32/Thonic.A
Nombre NOD32: Win32/Thonic.A
Tipo: Gusano de Internet y virus infector de ejecutables
Alias: Thonic, I-Worm.Thonic.a, I-Worm/Thonic.A, PE_THONIC.B,
VBS_THONIC.B, W32.Thonic@mm, W32/Thonic.6144.A,
W32/Thonic.a@MM, WIN.EXE.Virus, Win32.FileInfector,
Win32/Thonic.A, Worm.Thonic.A
Fecha: 13/ago/04
Plataforma: Windows 32-bit
Tamaño: 5,482 bytes
Este gusano se propaga adjunto a un mensaje electrónico como
el siguiente:
Asunto: Free MyDoom.B Patch !
Texto del mensaje:
Very urgent !
You should run this patch to protect your Windows OS
immediately to avoid this danger virus variant.
Thank You,
Microsoft Technical
Support Staff
Any rights not expressly granted herein are reserved.
Contact Microsoft with questions or problems.
(c) 2004 Microsoft Corporation. All right
Datos adjuntos: funnystuff.avi.exe
La infección se produce cuando el usuario hace doble clic
sobre el adjunto. El ejecutable infecta la utilidad
NOTEPAD.EXE (el bloc de notas de Windows), y la copia en la
siguiente ubicación:
c:\funnystuff.avi.exe
El gusano también es capaz de infectar otros archivos PE
(Portable Executable) con las siguientes extensiones:
.exe
.cpl
.scr
PE es un formato de archivos ejecutables de Windows, que
recibe el nombre de "portátil" porque el mismo archivo puede
ejecutarse en cualquier versión de Windows 95, 98, Me, NT,
2000 y XP. Todos los archivos de formato PE son ejecutables
(las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y
.CPL), pero no todos los ejecutables son portátiles.
Una vez en memoria, el gusano intercepta todas las llamadas a
las siguientes APIs de Windows:
WinExec
MoveFile
SetCurrentDir
API (Application Program Interface), es un conjunto de rutinas
que un programa utiliza para solicitar y efectuar servicios de
nivel inferior ejecutados por el sistema operativo de un
equipo.
Cada vez que el gusano detecta una de las llamadas
mencionadas, intentará infectar los archivos relacionados, que
cumplan con las condiciones vistas antes.
El gusano se agrega a si mismo al final de los archivos que
infecta. Por ello los archivos infectados pueden aumentar unos
8,192 bytes su tamaño. En ocasiones, el gusano puede agregar
otros 4,096 bytes más, conteniendo solo basura, a cada archivo
infectado.
En el proceso, crea una nueva sección en el archivo infectado,
con el nombre de ".Nameles". Para no infectar de nuevo un
archivo, busca dicho nombre en el header (cabezal), y no lo
infecta si la sección existe.
Para propagarse por correo electrónico en mensajes como el ya
descrito, el gusano libera y luego ejecuta un script VBS de
875 bytes en una de las siguientes ubicaciones:
c:\vqmsxjvyc.vbs
c:\windows\vqmsxjvyc.vbs
Cuando el script se ejecuta, el gusano accede al Outlook y
Outlook Express usando funciones MAPI (Messaging Application
Programming Interface, una interfase de programación para
aplicaciones que gestionan correo electrónico), y se envía a
todos los contactos de la libreta de direcciones del programa,
usando FUNNYSTUFF.AVI.EXE como adjunto.
Su código contiene el siguiente texto:
Win32.Nameless Mist - AzagTH0TH
* Reparación manual
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Repare (*) los archivos detectados como infectados
(*) Algunos archivos del virus solo podrán ser borrados
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Thonic.B. Infecta archivos, se propaga por e-mail
_____________________________________________________________
http://www.vsantivirus.com/thonic-b.htm
Nombre: W32/Thonic.B
Nombre NOD32: Win32/Thonic.B
Tipo: Gusano de Internet y virus infector de ejecutables
Alias: Thonic.B, I-Worm.Thonic.b, I-Worm/Thonic.B,
W32.Thonic@mm, W32/Thonic.b@MM, Win32/Thonic.B, Worm Generic,
Worm.Thonic.B
Fecha: 8/set/04
Plataforma: Windows 32-bit
Tamaño: 7,502 bytes
Este gusano se propaga adjunto a un mensaje electrónico como
el siguiente:
Asunto: Hey check out this funny video my friend sent me !
Texto del mensaje:
Mail Body
Datos adjuntos:
snowboard_accident.avi????????????????????????.exe
Donde "?????" representan 75 espacios en blanco.
La infección se produce cuando el usuario hace doble clic
sobre el adjunto. El ejecutable infecta la utilidad
NOTEPAD.EXE (el bloc de notas de Windows), y la copia en la
siguiente ubicación:
c:\snowboard_accident.avi????????????????????????.exe
El gusano también es capaz de infectar otros archivos PE
(Portable Executable) con las siguientes extensiones:
.exe
.cpl
.scr
PE es un formato de archivos ejecutables de Windows, que
recibe el nombre de "portátil" porque el mismo archivo puede
ejecutarse en cualquier versión de Windows 95, 98, Me, NT,
2000 y XP. Todos los archivos de formato PE son ejecutables
(las extensiones más conocidas son .EXE, .DLL, .OCX, .SCR y
.CPL), pero no todos los ejecutables son portátiles.
Una vez en memoria, el gusano intercepta todas las llamadas a
las siguientes APIs de Windows:
WinExec
MoveFile
SetCurrentDir
API (Application Program Interface), es un conjunto de rutinas
que un programa utiliza para solicitar y efectuar servicios de
nivel inferior ejecutados por el sistema operativo de un
equipo.
Cada vez que el gusano detecta una de las llamadas
mencionadas, intentará infectar los archivos relacionados, que
cumplan con las condiciones vistas antes.
El gusano se agrega a si mismo al final de los archivos que
infecta. Por ello los archivos infectados pueden aumentar unos
7,502 bytes su tamaño. En ocasiones, el gusano puede agregar
otros 4,096 bytes más, conteniendo solo basura, a cada archivo
infectado.
En el proceso, crea una nueva sección en el archivo infectado,
con el nombre de ".DCUbLmd". Para no infectar de nuevo un
archivo, busca dicho nombre en el header (cabezal), y no lo
infecta si la sección existe.
Para propagarse por correo electrónico en mensajes como el ya
descrito, el gusano libera y luego ejecuta un script VBS de
875 bytes en una de las siguientes ubicaciones (esta acción
puede fallar en ocasiones, impidiendo su propagación):
c:\cthonic.vbs
c:\windows\cthonic.vbs
Cuando el script se ejecuta, el gusano accede al Outlook y
Outlook Express usando funciones MAPI (Messaging Application
Programming Interface, una interfase de programación para
aplicaciones que gestionan correo electrónico), y se envía a
todos los contactos de la libreta de direcciones del programa,
usando SNOWBOARD_ACCIDENT.AVI????????????????????????.EXE como
adjunto.
El gusano crea las siguientes entradas en el registro, para
autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[nombre] =
c:\snowboard_accident.avi????????????????????????.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre] =
c:\snowboard_accident.avi????????????????????????.exe
También puede propagarse vía mIRC, por canales de chat.
Su código contiene el siguiente texto:
-=[YoG-SoTHoTH]=-
The Ancient Ones are near !!! Fear not
these latter days of humanity...
Created by -=[YoG-SoTHoTH]=- on Sept2003
HEX EDITING BIATCHs.......FUCK OFF !!!
Win32.CthonicWorm.1a by -=[Azag-TH0TH]=-
* Reparación manual
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Repare (*) los archivos detectados como infectados
(*) Algunos archivos del virus solo podrán ser borrados
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre la entrada que haga
referencia al siguiente archivo:
c:\snowboard_accident.avi????????????????????????.exe
4. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre la entrada que haga
referencia al siguiente archivo:
c:\snowboard_accident.avi????????????????????????.exe
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Wallon.F. Infecta a través de un enlace
_____________________________________________________________
http://www.vsantivirus.com/wallon-f.htm
Nombre: W32/Wallon.F
Nombre NOD32: Win32/Wallon.F
Tipo: Gusano de Internet
Alias: Wallon.F, I-Worm.Wallon.g, I-Worm/Wallon.B, NewHeur_PE,
TR/SPY.GooglerFS.1, W32.Wallon.A@mm, W32/Wallon.A.worm,
W32/Wallon.D-mm, W32/Wallon.worm, W32/Wallon-C,
Win32.Wallon.D@mm, Win32/Wallon.A@mm, Win32:Wallon-B
Fecha: 2/dic/04
Plataforma: Windows 32-bit
Tamaño: 150 Kb (ASPack)
Este gusano llega en un mensaje con formato HTML, sin
adjuntos, que solo contiene un enlace que se vale del servicio
de redireccionamiento de Yahoo para enviar el navegador del
usuario a un sitio Web, donde se ejecuta un script que
descarga y ejecuta el componente principal y otros archivos
necesarios para su funcionamiento. Esta página actualmente no
está accesible.
El enlace en el mensaje, redirecciona a un sitio de donde se
descarga una página. Esa página contiene a su vez, un enlace
encriptado a otra página, la que utiliza una conocida
vulnerabilidad para descargar y ejecutar una copia del gusano.
El gusano obtiene del registro de Windows, la configuración
SMTP del usuario. Localiza y abre la libreta de direcciones de
Windows (WAB), para enviar a todos los contactos mensajes como
el siguiente, utilizando su propio motor SMTP:
De: [dominio destinatario]
Para: [dirección destinatario]
Asunto: RE:
Texto del mensaje:
http:/ /drs.yahoo .com/[dominio destinatario]/NEWS
Por ejemplo, si la dirección es juan@mail.com, el mensaje
podría ser el siguiente:
De: mail.com
Para: juan@mail.com
Asunto: RE:
Texto del mensaje:
http:/ /drs.yahoo .com/mail.com/NEWS
El gusano evita enviarse a las direcciones que contengan las
siguientes cadenas:
+
admin
microsoft
postmaster
software
support
webmaster
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados por el virus.
* Cómo borrar archivos temporales de Windows
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica en
el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Cómo borrar archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet pinche en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Pinche en Aceptar, etc.
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados, simplemente
ejecutamos esos antivirus en su opción de escaneo, sobre la
carpeta que contenga los archivos a revisar). Y por supuesto,
de nada vale usar algún antivirus si no lo mantenemos
actualizado con los upgrades, updates o add-ons
correspondientes. Actualmente, las actualizaciones de la
mayoría de los fabricantes son diarias. No existen los "virus
demasiados nuevos y sin antídotos", la reacción de las casas
de antivirus es inmediata en todos los casos. Pero mejor
pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga referencias
de seriedad, o que no sean medianamente conocidos. Y si se
bajan archivos, proceder como los archivos adjuntos. Copiarlos
a una carpeta y revisarlos con dos o tres antivirus
actualizados antes de optar por ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos el
permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo a
la política de Copyright adoptada por cada uno de ellos, y su
inclusión en nuestro boletín se rige por dichas políticas, sin
embargo, para su uso en otro medio, se deberá solicitar la
debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.videosoft.net.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1613 Año 8, lunes 6 de diciembre de 2004
|
Responder a este mensaje
