Mostrando mensaje 680     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1631 Año 8, viernes 24 de diciembre de 2004 Fecha: Viernes, 24 de Diciembre, 2004  02:05:56 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1631 Año 8, viernes 24 de diciembre de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Ejecución de código en función LoadImage de User32.dll 2 - Windows: Desbordamiento de HEAP en Winhlp32.exe 3 - Fallo y DoS en Kernel de Windows con archivos .ANI 4 - W32/Breacuk.A. Usa mensajes en español y otros idiomas 5 - Troj/Banito.G. Roba información del equipo infectado 6 - W32/HLLW.VB.O. Roba información y borra documentos _____________________________________________________________ 1 - Ejecución de código en función LoadImage de User32.dll _____________________________________________________________ http://www.vsantivirus.com/vul-win-user32-231204.htm Ejecución de código en función LoadImage de User32.dll Por Angela Ruiz angela@videosoft.net.uy Un desbordamiento de entero en la función API LoadImage de la biblioteca USER32.DLL de Windows, puede permitir a un atacante remoto, la ejecución de código en forma arbitraria en el sistema afectado. El desbordamiento de entero o "integer overflow", es cuando una variable definida como entera, sobrepasa los valores asignados, provocando un desbordamiento de búfer. La función vulnerable es utilizada para cargar iconos, cursores o bitmaps, y luego procesar las imágenes correspondientes. Si un atacante envía un archivo .BMP, .CUR, .ICO o .ANI especialmente modificado, dentro de una página web o en un correo electrónico, podría llegar a ejecutar cualquier clase de código en forma remota, en el equipo vulnerable. La vulnerabilidad se produce cuando se falsifica el tamaño asignado a la imagen en su encabezamiento. Se ha publicado una prueba de concepto para demostrar el problema. * Software vulnerable: - Windows NT - Windows 2000 - Windows 2000 SP1 - Windows 2000 SP2 - Windows 2000 SP3 - Windows 2000 SP4 - Windows XP - Windows XP SP1 - Windows 2003 Windows XP SP2 no parece ser afectado por este problema. * Solución: No hay solución oficial para esta vulnerabilidad. Tampoco se indica si se ha reportado el problema a Microsoft, a pesar de haberse hecho público en Internet. * Créditos: Flashsky(fangxing venustech com cn;flashsky xfocus org) * Relacionados: Microsoft Windows LoadImage API Integer Buffer overflow http://www.securityfocus.com/archive/1/385342 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Windows: Desbordamiento de HEAP en Winhlp32.exe _____________________________________________________________ http://www.vsantivirus.com/vul-winhlp32-231204.htm Windows: Desbordamiento de HEAP en Winhlp32.exe Por Angela Ruiz angela@videosoft.net.uy Existe una vulnerabilidad en WINHLP32.EXE, el programa que analiza sintácticamente los archivos .HLP en Microsoft Windows, que puede provocar un desbordamiento de HEAP (heap overflow), con la posibilidad de ejecutar código arbitrario en el sistema. El término HEAP indica una porción de memoria disponible para un programa, también llamada área de memoria dinámica, donde la asignación y desasignación de memoria ocurre en orden aleatorio. La vulnerabilidad es causada por un error de decodificación durante el proceso de interpretación del encabezamiento de los archivos .HLP (archivos de la ayuda de Windows). Se ha publicado una prueba de concepto que demuestra este problema. * Software vulnerable: - Windows NT - Windows 2000 - Windows 2000 SP1 - Windows 2000 SP2 - Windows 2000 SP3 - Windows 2000 SP4 - Windows XP - Windows XP SP1 - Windows XP SP2 - Windows 2003 * Solución: No hay solución oficial para esta vulnerabilidad. Tampoco se indica si se ha reportado el problema a Microsoft, a pesar de haberse hecho público en Internet. Se aconseja no aceptar ni hacer clic sobre archivos .HLP de fuentes desconocidas, o no solicitados. * Créditos: Keji(yu_keji venustech com cn) * Relacionados: Microsoft Windows winhlp32.exe Heap Overflow Vulnerability http://www.securityfocus.com/archive/1/385332 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Fallo y DoS en Kernel de Windows con archivos .ANI _____________________________________________________________ http://www.vsantivirus.com/vul-win-kernel-231204.htm Fallo y DoS en Kernel de Windows con archivos .ANI Por Angela Ruiz angela@videosoft.net.uy El análisis sintáctico de un archivo .ANI especialmente modificado, puede causar que el kernel de Windows falle o deje de responder. Un atacante puede provocar el fallo en forma remota, a través de un archivo .ANI en una página Web maliciosa o desde un correo electrónico. La extensión .ANI corresponde a los cursores animados de Windows (Windows Animated Cursor), que consisten en una cantidad determinada de cuadros (imágenes diferentes). Al menos dos vulnerabilidades han sido reportadas en el Kernel de Windows cuando se interpretan archivos con esa extensión. Las dos vulnerabilidades están provocadas por una comprobación inadecuada del número de cuadros especificado en el encabezamiento de los archivos .ANI. La explotación exitosa de la primera de ellas, puede hacer que el kernel calcule una dirección errónea para acceder a un cuadro y entonces falle, provocando el comportamiento errático del sistema. La segunda vulnerabilidad, aunque casi similar, puede hacer que el kernel utilice todos los recursos del procesador, dejando de responder y provocando el congelamiento del sistema. Se han publicado pruebas de concepto que demuestran el problema. * Software vulnerable: - Windows NT - Windows 2000 - Windows 2000 SP1 - Windows 2000 SP2 - Windows 2000 SP3 - Windows 2000 SP4 - Windows XP - Windows XP SP1 - Windows 2003 Windows XP SP2 no es afectado por este problema. * Solución: No hay solución oficial para esta vulnerabilidad. Tampoco se indica si se ha reportado el problema a Microsoft, a pesar de haberse hecho público en Internet. Se aconseja no aceptar ni hacer clic sobre archivos o páginas con archivos .ANI de fuentes desconocidas, o no solicitados. * Créditos: Flashsky(fangxing venustech com cn;flashsky xfocus org) * Relacionados: Microsoft Windows Kernel ANI File Parsing Crash and DOS Vulnerability http://www.securityfocus.com/archive/1/385340 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Breacuk.A. Usa mensajes en español y otros idiomas _____________________________________________________________ http://www.vsantivirus.com/breacuk-a.htm Nombre: W32/Breacuk.A Tipo: Gusano de Internet Alias: Breacuk, Breacuk.A, Breaker, breaKer_cUk, Email-Worm.Win32.Breacuk.a, I-Worm/Breacuk.A, NewHeur_PE, W32/Beaker-A, W32/Beaker-A, Win32.Beaker.A@mm, Worm/Breacuk.A, WORM_BEAKER.A, W32.Beaker.A@mm Fecha: 22/dic/04 Plataforma: Windows 32-bit Tamaño: 16,134 bytes Gusano que se propaga por correo electrónico, con asuntos y mensajes en diferentes idiomas, entre ellos español. El texto del mensaje intenta hacer creer que el archivo enviado está limpio de virus (jamás debemos abrir adjuntos no solicitados, sin importar el remitente y mucho menos en mensajes que no podemos comprobar). El gusano puede sobrescribir algunos archivos con un texto, dejándolos inutilizables. Para enviarse a otros equipos, utiliza su propio motor SMTP (Simple Mail Transfer Protocol), de tal modo que no importa que cliente de correo se tenga instalado. Para propagarse, busca direcciones de correo en diferentes archivos del sistema. El gusano crea múltiples copias de si mismo con nombres al azar en el sistema infectado. Sin embargo la presencia de un archivo B6.LOG en la carpeta de archivos temporales de Windows (TEMP), y el archivo CODM sin extensión en la carpeta de Windows, pueden ser un indicio de infección. NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. El gusano puede presentarse en mensajes con las siguientes características: Asunto: [uno de los siguientes] - Re:FW: imposs vel s-lo tanto... :P, v - Re:FW: impossyvel su-lo tanto... :P, vu-lo - Re:FW:(none) - Re:FW:Aid please! :), to see it - Re:FW:Aide s'il vous plait! :), pour le voir - Re:FW:Aide s'il vous plat! :), pour le voir - Re:FW:Ajuda a ajudar-te... :), v - Re:FW:Ajuda a ajudar-te... :), vu-lo - Re:FW:Ayudame a ayudarte... :), miralo - Re:FW:Because it is worth ,to see it - Re:FW:Besser Witz des Jahres:), um es zu sehen - Re:FW:Besserer Idiot des Jahres, um es zu sehen - Re:FW:Besseres Foto des Jahres;), um es zu sehen - Re:FW:Better idiot of the year, to see it - Re:FW:Better joke of the year:), to see it - Re:FW:Better Photo of the year;), to see it - Re:FW:Ce que nous voulions toujours... :), pour le voir - Re:FW:Che cosa abbiamo desiderato sempre... :), vederli - Re:FW:Die schlechtere Sache des Jahres, um es zu sehen - Re:FW:Es gibt kein Leben ohne Tod ...: (, um es zu sehen - Re:FW:Es imposible serlo tanto... :P, miralo - Re:FW:Es ist unm glich, es soviel ...:P zu sein, es zu sehen - Re:FW:Foto migliore dell'anno;), per vederla - Re:FW:Hilfe bitte!:), um es zu sehen - Re:FW:Idiot migliore dell'anno, vederlo - Re:FW:Il est impossible d' tre cela tant de ...:P, le voir - Re:FW:Il n'y a aucune vie sans mort... : (, pour le voir - Re:FW:impossibile a sia tanto... :P, vederlo - Re:FW:It is impossible to be it as much... :P, to see it - Re:FW:La cosa pi?ettosa dell'anno, vederla - Re:FW:La chose plus mauvaise de l'anne, pour le voir - Re:FW:Le meilleur idiot de l'ann e, pour le voir - Re:FW:Lo peor del año, miralo - Re:FW:Lo que siempre quisimos... :). miralo - Re:FW:Meilleure Photo de l'anne;), pour le voir - Re:FW:Mejor chiste del año :),miralo - Re:FW:Mejor chorrada del año, miralo - Re:FW:Mejor Foto del año ;), miralo - Re:FW:Melhor anedota do ano :),v - Re:FW:Melhor anedota do ano :),vu-lo - Re:FW:Melhor Foto do ano ;), v - Re:FW:Melhor Foto do ano ;), vu-lo - Re:FW:Mieux plaisanterie de l'anne :), pour le voir - Re:FW:Mieux plaisanterie de l'annue :), pour le voir - Re:FW:N vida sem morte... :(, v - Re:FW:No hay vida sin muerte... :(, miralo - Re:FW:Non ci vita senza morte... :(, vederla - Re:FW:Nuo hs vida sem morte... :(, vu-lo - Re:FW:O mas idiota, v - Re:FW:O mas idiota, vu-lo - Re:FW:O pior do ano, v - Re:FW:O pior do ano, vu-lo - Re:FW:O que sempre quisemos... :). v - Re:FW:O que sempre quisemos... :). vu-lo - Re:FW:Parce qu'il vaut, le voir - Re:FW:Pois vale. v - Re:FW:Pois vale. vu-lo - Re:FW:Preis!:D, um es zu sehen - Re:FW:Premio! :D, vederlo - Re:FW:Premio!!!! :D, miralo - Re:FW:Prix! :D, pour le voir - Re:FW:Prize! :D, to see it - Re:FW:Prumio!!!! :D, v - Re:FW:Prumio!!!! :D, vu-lo - Re:FW:Pues vale. miralo - Re:FW:Scherzo migliore dell'anno:), per vederlo - Re:FW:Sussidio per favore! :), per vederlo - Re:FW:The worse thing of the year, to see it - Re:FW:There is no life without death... :(, to see it - Re:FW:Was wir immer ... wollten:), um es zu sehen - Re:FW:Weil das wert ist, es zu sehen - Re:FW:What we always wanted...:), to see it Texto del mensaje: [uno de los siguientes] Kaspersky-Antivirus. Kein Virus Gefundenes State:Ok Symantec-Antivirus. Noo Vyrus. State:Ok Symantec-Antivirus. Nessun Virus Found. State:Ok Kaspersky-Antivirus. No Virus Found. State:Ok F-Secure-Antivirus. Aucun Virus Constat State:Ok Panda ActiveScan-Antivirus. No se encontraron virus. Estado:Ok Datos adjuntos: [uno de los siguientes] a.zip anedota2004.zip Bilge2004.zip Bonheur.zip ck.zip chiste2004.zip Daswarniewie das.zip Eskannnichtsein.zip essere.zip explodecarros.zip Exploitedesvoitures.zip exploitscars.zip felicidad.zip felicidade.zip Felicitaciones.zip foto2004.zip Foto2004.zip Happiness.zip Heiligtum.zip hrt.zip Ichhabeesber.zip Ihavetouched it.zip Ilnepeutpas.zip Itcannotbe.zip Itwasneverlikethat.zip jamasfueasi.zip Jel'aitouch.zip Joke2004.zip Kielraum2004.zip L'hotoccato.zip mehatocado.zip metocou.zip noneramaicomeci.zip Nonpu.zip nopuedeser.zip nuncafoiassim.zip opodeser.zip Peggiore2004.zip pegote2004.zip peor2004.zip photo2004.zip Photo2004.zip pior2004.zip Plaisanterie2004.zip Plusmauvais2004.zip rebientacoches.zip Renflement2004.zip rio.zip Sanctuaire.zip Sanctuary.zip santu.zip santuario.zip Santuario.zip Scherzo2004.zip Schlechter2004.zip stupido2004.zip taitjamaiscomme.zip tatAutos.zip tonto2004.zip tre.zip utilizzadelleautomobili.zip Witz2004.zip Worse2004.zip Cuando el contenido del adjunto es ejecutado (doble clic), el gusano se copia varias veces, todas con nombres al azar, en las siguientes carpetas del sistema: \TEMP c:\windows\Fonts c:\windows\system c:\windows\system32 También crea una copia comprimida (.ZIP) de si mismo con el nombre de B6.LOG en la siguiente ubicación: \TEMP\b6.log Crea la siguiente copia de si mismo en formato Base64: c:\windows\codm Para asegurarse de autoejecución en cada reinicio de Windows, crea las siguientes entradas en el registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\Temp\[nombre].exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\Fonts\[nombre].exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\System\[nombre].exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\System32\[nombre].exe" Donde "?????" son caracteres al azar, y el [nombre] del gusano es uno de los archivos creados antes también con nombres al azar. Para propagarse por correo electrónico se envía a si mismo en mensajes como el ya descrito, a las direcciones encontradas en archivos con las siguientes extensiones del equipo infectado: .adb .ade .asp .avi .bak .bas .bat .bin .bmp .cfg .cgi .cls .cmd .com .css .csv .ctl .ctt .dat .dbx .dhtm .doc .eml .fdb .frm .htm .html .ihm .imb .img .inf .ini .iso .jpg .js .jsp .log .logs .lst .mda .mdb .mdw .mdx .mp3 .mpg .msg .msi .nch .nfo .nrg .nws .oft .pdf .php .pif .pl .pmr .ppt .rar .rft .rpt .rtf .scr .sfc .sht .shtm .swf .tbb .txt .uni .url .vap .vbs .vcf .wab .wma .wsh .xls .xml .zip El gusano intenta sobrescribir numerosos archivos del sistema con el siguiente texto: -=breaKer_cUk- Cuando detecta una conexión a Internet, abre el navegador para intentar mostrar las siguientes imágenes: http://www.por???rone.com/ad2_03/images/pc0132hb026.jpg http://www.por???rone.com/ad2_03/images/pc0132hb072.jpg http://www.por???rone.com/ad2_03/images/pc0132hb098.jpg * Reparación manual IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos, dependerá del daño causado por el virus desde el momento de ocurrida la infección, hasta el momento de su detección. * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales de Windows 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Troj/Banito.G. Roba información del equipo infectado _____________________________________________________________ http://www.vsantivirus.com/troj-banito-g.htm Nombre: Troj/Banito.G Nombre NOD32: Win32/Banito.G Tipo: Caballo de Troya Alias: Banito.G, Win32/Banito.G, Backdoor.Banito.g, BackDoor.Banito, BackDoor.Banito.R, Troj/Banito-C Fecha: 22/dic/04 Plataforma: Windows 32-bit Este caballo de Troya obtiene información del sistema infectado, y la envía a un usuario remoto. También intenta descargar y ejecutar archivos de Internet. Crea una puerta trasera que puede ser utilizada por un atacante para tomar el control del equipo infectado. El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P. Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios. Cuando se ejecuta por primera vez, se copia a si mismo con el siguiente nombre, en la carpeta de Windows: c:\windows\svchost.exe Nota: SVCHOST.EXE (Generic Host Process for Win32 Services), es también un archivo legítimo de Windows XP, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta "System32" de Windows. No borre dicho archivo por equivocación al intentar borrar el que crea el virus. El troyano crea la siguiente entrada en el registro para ejecutarse automáticamente en el sistema cada vez que éste se reinicia: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Svchost.exe = Svchost.exe Cuando se ejecuta, realiza capturas de pantalla y las almacena en el siguiente archivo: c:\windows\sysc32.ss Captura la salida del teclado y guarda los datos obtenidos en los siguientes archivos: c:\windows\sysl32.ss c:\windows\sysl322.ss NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\svchost.exe c:\windows\sysc32.ss c:\windows\sysl32.ss c:\windows\sysl322.ss Nota: SVCHOST.EXE (Generic Host Process for Win32 Services), es también un archivo legítimo de Windows XP, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta "System32" de Windows. No borre dicho archivo por equivocación al intentar borrar el que crea el virus. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", borre la siguiente entrada: Svchost.exe = Svchost.exe 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - W32/HLLW.VB.O. Roba información y borra documentos _____________________________________________________________ http://www.vsantivirus.com/hllw-vb-o.htm Nombre: W32/HLLW.VB.O Nombre NOD32: Win32/HLLW.VB.O Tipo: Caballo de Troya Alias: Win32.HLLW.VB.o, W32/Generic.d, W32.SillyFDC, Win32/HLLW.VB.K, Win32/VB.AH, Win32.Mima.B, Win32/PWS.Mima.B.Trojan Fecha: 23/dic/04 Plataforma: Windows 32-bit Caballo de Troya que roba información de los equipos infectados y además es capaz de borrar documentos de Microsoft Word. Cuando se ejecuta, muestra una ventana con el siguiente mensaje: ???? ????????Word??! [ Aceptar ] Se copia en la carpeta del sistema de Windows con el siguiente nombre: c:\windows\system\sys.exe Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema: HKLM\SOFTWARE\Microsoft \Windows\CurrentVersion\policies\EXPLORER\RUN (Predeterminado) = KV3000 Explorer = c:\windows\system\sys.exe El troyano captura la salida del teclado y guarda la información obtenida en el siguiente archivo: c:\windows\system\mima.sys Busca archivos con extensión .DOC en cualquier disquete insertado en la unidad A:, y los borra, copiándose él mismo con el nombre del .DOC pero con extensión .EXE. Ejemplo: Si encuentra un archivo llamado DOCUMENTO.DOC, lo borra y se copia él mismo con el nombre de DOCUMENTO.EXE. * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus. 4. Reitere estos pasos en cada disquete previamente utilizado. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\sys.exe c:\windows\system\mima.sys Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \policies \EXPLORER \RUN 3. Haga clic en la carpeta "RUN" y bórrela. 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1631 Año 8, viernes 24 de diciembre de 2004