|
Mostrando mensaje 715
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1666 Año 9, viernes 28 de enero de 2005 | | Fecha: | Viernes, 28 de Enero, 2005 07:05:18 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1666 Año 9, viernes 28 de enero de 2005
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Mensaje con falsa actualización de Microsoft
2 - Microsoft bloqueará actualizaciones de Windows piratas
3 - Nuevas versiones del virus Bagle en Internet
4 - W32/Bagle.AX. Se propaga por e-mail y P2P
5 - W32/Bagle.AY. Se propaga por e-mail y P2P
_____________________________________________________________
1 - Mensaje con falsa actualización de Microsoft
_____________________________________________________________
http://www.vsantivirus.com/28-01-05.htm
Mensaje con falsa actualización de Microsoft
Por Angela Ruiz
angela@videosoft.net.uy
CNET News ha denunciado la aparición de un mensaje falso que
simula contener una notificación de seguridad de Microsoft,
conteniendo como adjunto un parche para solucionar
determinados problemas en Windows.
El mensaje, cuyo asunto es "MS Windows/Critical Error",
intenta engañar a los usuarios confiados o sin experiencia,
para que descarguen, descompriman y ejecuten el archivo
adjunto. El mensaje está en inglés y posee numerosos errores
de ortografía y gramática. A pesar de ello, puede ser muy
probable que un usuario desprevenido, realice dicha acción.
El mensaje, en inglés, afirma que "errores críticos han sido
encontrado en las bibliotecas de Windows" [archivos DLL].
"Estos errores pueden destruir los archivos del sistema de su
computadora, sin posibilidad de restaurarlos", agrega el falso
mensaje, al mismo tiempo que pide al usuario para que abra y
ejecute el adjunto.
Este archivo suele llamarse WINDOWSUPDATE.RAR, y al
descomprimirse contiene un ejecutable que simula ser un
archivo de instalación de Windows.
"Microsoft está enterado de una posible amenaza relacionada
con el envío de correo electrónico que reclama ser enviado por
la compañía, con la idea de engañar a los usuarios para que
abran y ejecuten un adjunto que se supone contiene un parche
de actualización", dijo el director del centro de respuestas
de seguridad de Microsoft en una declaración a la prensa.
"Las investigaciones iniciales que se realizaron, no han
encontrado en el adjunto ninguna carga maliciosa. Microsoft no
ha recibido reportes de sus clientes sobre este tema", afirmó
el vocero.
Recordemos que Microsoft jamás envía adjuntos de ninguna clase
a sus usuarios, y que los parches solo son descargados
automáticamente vía "Windows Updates", o manualmente desde las
páginas que contienen sus propios boletines de seguridad.
En su sitio, Microsoft advierte desde hace bastante tiempo
cuáles son sus políticas al respecto, las que pueden resumirse
en los siguientes puntos:
1. Microsoft solo distribuye su software en medios físicos
como CDs o discos flexibles.
2. Las actualizaciones de su software pueden ser hechas vía
Internet. Cuándo ello sucede, el software está disponible en
su sitio web, http://www.microsoft.com, o ser localizado a
través de http://www.microsoft.com/downloads/search.asp?, o
del servicio http://windowsupdate.microsoft.com/
3. Microsoft puede enviar correo electrónico a sus clientes
para informarles de actualizaciones disponibles. Sin embargo,
los mensajes solo proporcionan los enlaces a los sitios
anteriormente mencionados. Nunca se adjunta al mensaje
software alguno. Además, los enlaces siempre llevarán a su
sitio, nunca a uno de terceros.
4. Los mensajes de Microsoft siempre están firmados con un
código de autenticación digital, para asegurar que esa
información no ha sido alterada durante el envío.
De todos modos, recuerde que jamás debe abrir adjuntos no
solicitados, aún cuando sean de personas o instituciones
conocidas, ya que los remitentes pueden haber sido
falsificados.
* Relacionados:
Microsoft Policies on Software Distribution
www.microsoft.com/technet/security/topics/policy/swdist.mspx
How to Tell If a Microsoft Security-Related Message Is Genuine
www.microsoft.com/security/incident/authenticate_mail.mspx
¿Un mensaje de Microsoft con adjuntos?. ¡Cuidado!
http://www.vsantivirus.com/lz-ms-adjuntos.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Microsoft bloqueará actualizaciones de Windows piratas
_____________________________________________________________
http://www.vsantivirus.com/28-01-05b.htm
Microsoft bloqueará actualizaciones de Windows piratas
Por Angela Ruiz
angela@videosoft.net.uy
Microsoft anunció este martes, que bloqueará la forma en que
las que personas que ejecutan copias piratas de su sistema
operativo Windows, puedan obtener las actualizaciones de su
software, incluyendo los parches de seguridad.
La piratería siempre ha sido un serio problema para los
grandes fabricantes de software como Microsoft, cuyo sistema
operativo Windows es utilizado por más del 92% de las
computadoras de todo el mundo, según varias estimaciones.
La piratería de Windows es un tema especialmente complicado
para Microsoft. Sus tentativas de frustrar esto con su esquema
de "Activación del producto", ha tenido un efecto muy pequeño,
porque entre otras cosas, es fácil obtener la edición
corporativa y una llave de producto para evitar completamente
dicha activación.
Sin embargo, Microsoft no renuncia. La empresa cree firmemente
que la mejor manera de luchar contra la piratería informática,
es asegurándose que sus usuarios reciban todos los beneficios
del software genuino. A partir de mediados de 2005, Microsoft
aplicará un sistema de validación en Windows Update y en la
descarga de los parches de su sitio, forzando a los usuarios a
validar su copia de Windows antes de descargar las
actualizaciones y parches de seguridad.
Una versión beta de esta tecnología, es la aplicada
recientemente en la descarga de la herramienta "Microsoft
Anti-Spyware", donde se le informa al usuario que el archivo
solo está disponible para quienes tengan versiones genuinas de
Microsoft Windows (Genuine Microsoft Software). Aunque se pide
que se haga clic en un botón para continuar, a los efectos de
validar el sistema, hoy día este chequeo no es obligatorio y
puede ser salteado.
En el futuro, toda descarga de actualizaciones, hará
obligatorio este examen, que incluye la descarga de un archivo
que buscará en el registro la clave de la licencia. Si el
software no es una versión legal, el usuario es redirigido a
comprarlo, y se impide la oportunidad de descargar cualquier
parche o actualización disponible.
La tecnología fue usada primeramente en setiembre de 2004,
donde se ofrecía a los usuarios un software de pruebas que
comprobaba la legalidad o no de Windows, incluso promocionando
la entrega de una versión legal a aquellos que demostraran que
habían recibido sus nuevas computadoras con un Windows XP
preinstalado, creyendo que era legítimo.
Participaron de esa prueba cerca de cinco millones de
personas, aunque la misma se realizó solo entre usuarios de
habla inglesa y en algunos pocos países.
Microsoft asegura que la validación del sistema operativo por
este método, solo comprueba si Windows es pirata o no, pero no
revela la identidad de las personas de forma individual.
Ya se han emitido juicios bastante duros sobre el tema de la
seguridad. "Si hay usuarios que no pueden actualizarse, los
mismos serán vulnerables a los virus y otras amenazas, y eso
también afectará a aquellos que tienen el software de forma
legal", afirma el especialista Mark Rasch en el artículo
"Helicópteros negros sobre el anti-spyware de Microsoft",
http://www.vsantivirus.com/19-01-05.htm
Sin embargo, Microsoft permitiría durante algún tiempo, y
únicamente mediante la actualización automática, que todos los
usuarios, legales o no, pudieran obtener ciertos parches
críticos. Y ello, solo con el objetivo de dar un plazo
necesario para que los usuarios en infracción, regularicen su
software.
* Relacionados:
Helicópteros negros sobre el anti-spyware de Microsoft
http://www.vsantivirus.com/19-01-05.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Nuevas versiones del virus Bagle en Internet
_____________________________________________________________
http://www.vsantivirus.com/nod32-270105.htm
Nuevas versiones del virus Bagle en Internet
Esta semana, se detectaron nuevas versiones de este gusano,
con una importante tasa de reproducción en algunas zonas de
Europa y América.
Eset advirtió el lunes sobre la aparición de dos nuevos virus
informáticos que se reproducen a través de Internet:
Win32/Bagle.AW y Win32/Bagle.AX. Otras versiones basadas en
estas, y ligeramente modificadas, hicieron su aparición más
tarde.
Dando una rápida respuesta, NOD32, el producto antivirus de
Eset, detectó muestras de estos gusanos sin necesidad de
actualizarse, brindando protección automática a sus usuarios
gracias a su Heurística Avanzada.
La Heurística Avanzada es un conjunto de complejos métodos de
detección que permiten reconocer un nuevo virus mediante un
análisis detallado del funcionamiento y acciones del programa
analizado.
Volviendo a los Bagle, ambos gusanos se reproducen por
Internet aprovechando el correo electrónico y las aplicaciones
de intercambio de archivos P2P. Además, bloquean el correcto
funcionamiento de varios programas, si estos están instalados,
como pueden ser antivirus y/o cortafuegos (firewalls).
El mensaje en el que viaja adjunto el gusano provendrá de una
dirección de remitente falsa o tomada de algún otro usuario
infectado, su texto está en inglés y contiene un solo archivo
adjunto con extensiones .com, .cpl, .exe y/o .scr.
Virus-Radar.com informaba hoy que la versión AX del Bagle se
encontraba entre los 10 virus más detectados del día. La otras
versiones (incluida la AW) no parecen haberse reproducido
tanto, según las estadísticas brindadas por Virus-Radar.com y
otros sitios de estadísticas sobre virus.
Aunque ambos gusanos no han alcanzado una propagación
aplastante, el hecho de su rápida reproducción inicial y que
se trate de nuevas versiones de la familia Bagle, impone la
necesidad de recomendar a los usuarios que mantengan activo y
actualizado su antivirus para evitar intrusiones por estos y
otros virus informáticos.
Video Soft, empresa creadora del sitio VSAntivirus, representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.videosoft.net.uy/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Bagle.AX. Se propaga por e-mail y P2P
_____________________________________________________________
http://www.vsantivirus.com/bagle-ax.htm
Nombre: W32/Bagle.AX
Nombre NOD32: Win32/Bagle.AX
Tipo: Gusano de Internet
Alias: Bagle.AX, Win32/Bagle.AX, Email-Worm.Win32.Bagle.ax,
W32/Bagle-AY, W32/Bagle.bk@MM, W32.Beagle.AZ@mm,
WORM_BAGLE.AZ, Win32.Bagle.AU
Fecha: 27/ene/05
Plataforma: Windows 32-bit
Tamaño: 19,810 bytes (agrega basura para aumentar su tamaño)
Puertos: TCP 81
Ultima actualización: 28/ene/05
Herramienta de limpieza: Si
Variante del Bagle.AW, detectado el 27 de enero de 2005.
Gusano escrito en Visual C, que se propaga por correo
electrónico. También intenta propagarse por redes P2P,
copiándose en carpetas utilizadas por varios de esos programas
para compartir archivos con otros usuarios (KaZaa, Bearshare,
Limewire, etc.)
Utiliza varios mutex para prevenir que el gusano W32/Netsky y
sus variantes, puedan ejecutarse.
Puede enviarse a todas las direcciones de correo obtenidas de
diferentes archivos de la máquina infectada. En todos los
casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera
(backdoor), y además finaliza la ejecución de varios antivirus
y cortafuegos.
Los mensajes que utiliza para su propagación tienen las
siguientes características:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
- Delivery by mail
- Delivery service mail
- Is delivered mail
- Registration is accepted
- You are made active
Texto del mensaje: [uno de los siguientes]
- Before use read the help
- Thanks for use of our software.
Datos adjuntos: [uno de los siguientes]
guupd02.???
Jol03.???
siupd02.???
upd02.???
viupd02.???
wsd01.???
zupd02.???
Donde "???" puede ser alguna de las siguientes extensiones:
.com
.cpl
.exe
.scr
Cuando se ejecuta, crea los siguiente archivos en la carpeta
System de Windows:
c:\windows\system32\sysformat.exe
c:\windows\system32\sysformat.exeopen
c:\windows\system32\sysformat.exeopenopen
c:\windows\system32\sysformat.exeopenopenopenopen
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows XP
y Windows Server 2003, como "c:\winnt\system32" en Windows NT
y 2000 y "c:\windows\system" en Windows 9x y ME).
Crea la siguiente entrada en el registro, para autoejecutarse
en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Sysformat = c:\windows\system32\sysformat.exe
Crea también las siguientes entradas para almacenar valores de
su configuración actual (no todas estarán presentes):
HKEY_CURRENT_USER\Software\Microsoft\Params
Riga = [valor al azar]
TimeKey = [valor al azar]
HKCU\Software\Microsoft\DownloadManager
HKLM\SOFTWARE\Microsoft\DownloadManager
Las direcciones que utiliza para propagarse, son obtenidas de
archivos de la máquina infectada con las siguientes
extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Ignora direcciones de correo que contengan las siguientes
cadenas:
@avp.
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
linux
listserv
local
nobody@
noone@
noreply
ntivi
panda
postmaster@
rating@
root@
samples
sopho
support
update
winrar
winzip
El gusano también se copia en todas las carpetas cuyo nombre
contenga la cadena "SHAR", lo que incluye a la mayoría de las
carpetas compartidas de programas de intercambio de archivos
entre usuarios. De ese modo puede propagarse por las redes
P2P, y para ello utiliza los siguientes nombres:
1.exe
10.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Opera 8 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
XXX hardcore images.exe
Posee algunas características de troyano de acceso remoto y
para ello abre los puertos TCP/81, quedando a la espera de
comandos. Esta opción puede ser usada para actualizar al
propio gusano. Cuando ello sucede, se descarga la nueva
versión que luego se ejecuta para suplantar la anterior.
También intenta descargar de los siguientes dominios, un
archivo llamado ERROR.JPG, que luego copia como RE_FILE.EXE en
la carpeta de Windows\System (o Windows\System32):
www .24-7-transportation .com
www .adhdtests .com
www .aegee .org
www .aimcenter .net
www .alupass .lu
www .amanit .ru
www .andara .com
www .angelartsanctuary .com
www .anthonyflanagan .com
www .approved1stmortgage .com
www .argontech .net
www .asianfestival .nl
www .atlantisteste .hpg .com .br
www .aviation-center .de
www .bbsh .org
www .bga-gsm .ru
www .boneheadmusic .com
www .bottombouncer .com
www .bradster .com
www .buddyboymusic .com
www .bueroservice-it .de
www .calderwoodinn .com
www .capri-frames .de
www .celula .com .mx
www .ceskyhosting .cz
www .cntv .info
www .compsolutionstore .com
www .coolfreepages .com
www .corpsite .com
www .couponcapital .net
www .cpc .adv .br
www .crystalrose .ca
www .cscliberec .cz
www .curtmarsh .com
www .customloyal .com
www .chinasenfa .com
www .DarrkSydebaby .com
www .deadrobot .com
www .dontbeaweekendparent .com
www .dragcar .com
www .ecofotos .com .br
www .elenalazar .com
www .ellarouge .com .au
www .esperanzaparalafamilia .com
www .eurostavba .sk
www .everett .wednet .edu
www .fcpages .com
www .featech .com
www .fepese .ufsc .br
www .firstnightoceancounty .org
www .flashcorp .com
www .fleigutaetscher .ch
www .fludir .is
www .freeservers .com
www .FritoPie .NET
www .gamp .pl
www .gci-bln .de
www .gcnet .ru
www .generationnow .net
www .gfn .org
www .giantrevenue .com
www .glass .la
www .handsforhealth .com
www .hartacorporation .com
www .himpsi .org
www .idb-group .net
www .immonaut .sk
www .ims-i .com
www .innnewport .com
www .irakli .org
www .irinaswelt .de
www .jansenboiler .com
www .jasnet .pl
www .jhaforpresident .7p .com
www .jimvann .com
www .jldr .ca
www .justrepublicans .com
www .kencorbett .com
www .knicks .nl
www .kps4parents .com
www .kradtraining .de
www .kranenberg .de
www .lasermach .com
www .leonhendrix .com
www .magicbottle .com .tw
www .mass-i .kiev .ua
www .mepbisu .de
www .mepmh .de
www .metal .pl
www .mexis .com
www .mongolische-renner .de
www .mtfdesign .com
www .oboe-online .com
www .ohiolimo .com
www .onepositiveplace .org
www .oohlala-kirkland .com
www .orari .net
www .pankration .com
www .pe-sh .com
www .pfadfinder-leobersdorf .com
www .pipni .cz
www .polizeimotorrad .de
www .programmierung2000 .de
www .pyrlandia-boogie .pl
www .raecoinc .com
www .realgps .com
www .redlightpictures .com
www .reliance-yachts .com
www .relocationflorida .com
www .rentalstation .com
www .rieraquadros .com .br
www .scanex-medical .fi
www .sea .bz .it
www .selu .edu
www .sigi .lu
www .sljinc .com
www .smacgreetings .com
www .soloconsulting .com
www .spadochron .pl
www .srg-neuburg .de
www .ssmifc .ca
www .sugardas .lt
www .sunassetholdings .com
www .szantomierz .art .pl
www .the-fabulous-lions .de
www .tivogoddess .com
www .tkd2xcell .com
www .topko .sk
www .transportation .gov .bh
www .travelchronic .de
www .traverse .com
www .uhcc .com
www .ulpiano .org
www .uslungiarue .it
www .vandermost .de
www .vbw .info
www .velezcourtesymanagement .com
www .velocityprint .com
www .vikingpc .pl
www .vinirforge .com
www .wecompete .com
www .worest .com .ar
www .woundedshepherds .com
www .wwwebad .com
www .wwwebmaster .com
Mientras se está ejecutando, intenta finalizar los siguientes
procesos:
alogserv.exe
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avengine.exe
avpupd.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nisum.exe
nopdb.exe
nprotect.exe
nupgrade.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
symlcsvc.exe
update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
También intenta borrar las entradas en el registro creadas por
versiones de otros gusanos, como Netsky.
* Herramienta de limpieza automática:
Descargue y ejecute esta herramienta de NOD32 en su
computadora, para una limpieza automática de la misma. Siga
las instrucciones en pantalla.
http://www.vsantivirus.com/bagle-ax.htm#lim
Herramienta de limpieza (c) Future Time Srl
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos (no todos ellos pueden estar presentes):
c:\windows\system32\re_file.exe
c:\windows\system32\sysformat.exe
c:\windows\system32\sysformat.exeopen
c:\windows\system32\sysformat.exeopenopen
c:\windows\system32\sysformat.exeopenopenopenopen
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Params
3. Pinche en la carpeta "Params" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las entradas que
aparezcan de esta lista:
Riga = [valor al azar]
TimeKey = [valor al azar]
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
Sysformat
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\DownloadManager
7. Pinche en la carpeta "DownloadManager" y bórrela.
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\DownloadManager
9. Pinche en la carpeta "DownloadManager" y bórrela.
10. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
* Actualizaciones:
27/01/05 - 13:04 -0200 (Herramienta de limpieza)
28/01/05 - 03:03 -0200 (Modificaciones de la descripción)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Bagle.AY. Se propaga por e-mail y P2P
_____________________________________________________________
http://www.vsantivirus.com/bagle-ay.htm
Nombre: W32/Bagle.AY
Nombre NOD32: Win32/Bagle.AY
Tipo: Gusano de Internet
Alias: Bagle.AY, Win32/Bagle.AY, W32.Beagle.BA@mm,
Win32.Bagle.AV, Email-Worm.Win32.Bagle.ba, W32/Bagle.bl@MM
Fecha: 27/ene/05
Plataforma: Windows 32-bit
Tamaño: 18 KB (aprox.) (agrega basura para aumentar su tamaño)
Puertos: TCP 81
Ultima actualización: 28/ene/05
Variante recomprimida del Bagle.AX, detectado el 27 de enero
de 2005. Gusano escrito en Visual C, que se propaga por correo
electrónico. También intenta propagarse por redes P2P,
copiándose en carpetas utilizadas por varios de esos programas
para compartir archivos con otros usuarios (KaZaa, Bearshare,
Limewire, etc.)
Utiliza varios mutex para prevenir que el gusano W32/Netsky y
sus variantes, puedan ejecutarse.
Puede enviarse a todas las direcciones de correo obtenidas de
diferentes archivos de la máquina infectada. En todos los
casos el remitente que figura en el mensaje es falso.
Posee además un componente de acceso por puerta trasera
(backdoor), y además finaliza la ejecución de varios antivirus
y cortafuegos.
Los mensajes que utiliza para su propagación tienen las
siguientes características:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
- Delivery by mail
- Delivery service mail
- Is delivered mail
- Registration is accepted
- You are made active
Texto del mensaje: [uno de los siguientes]
- Before use read the help
- Thanks for use of our software.
Datos adjuntos: [uno de los siguientes]
guupd02.???
Jol03.???
siupd02.???
upd02.???
viupd02.???
wsd01.???
zupd02.???
Donde "???" puede ser alguna de las siguientes extensiones:
.com
.cpl
.exe
.scr
Cuando se ejecuta, crea los siguiente archivos en la carpeta
System de Windows:
c:\windows\system32\sysformat.exe
c:\windows\system32\sysformat.exeopen
c:\windows\system32\sysformat.exeopenopen
c:\windows\system32\sysformat.exeopenopenopenopen
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows XP
y Windows Server 2003, como "c:\winnt\system32" en Windows NT
y 2000 y "c:\windows\system" en Windows 9x y ME).
Crea la siguiente entrada en el registro, para autoejecutarse
en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Sysformat = c:\windows\system32\sysformat.exe
Crea también las siguientes entradas para almacenar valores de
su configuración actual (no todas estarán presentes):
HKEY_CURRENT_USER\Software\Microsoft\Params
Riga = [valor al azar]
TimeKey = [valor al azar]
HKCU\Software\Microsoft\DownloadManager
HKLM\SOFTWARE\Microsoft\DownloadManager
Las direcciones que utiliza para propagarse, son obtenidas de
archivos de la máquina infectada con las siguientes
extensiones:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Ignora direcciones de correo que contengan las siguientes
cadenas:
@avp.
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
linux
listserv
local
nobody@
noone@
noreply
ntivi
panda
postmaster@
rating@
root@
samples
sopho
support
update
winrar
winzip
El gusano también se copia en todas las carpetas cuyo nombre
contenga la cadena "SHAR", lo que incluye a la mayoría de las
carpetas compartidas de programas de intercambio de archivos
entre usuarios. De ese modo puede propagarse por las redes
P2P, y para ello utiliza los siguientes nombres:
1.exe
10.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Opera 8 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
XXX hardcore images.exe
Posee algunas características de troyano de acceso remoto y
para ello abre los puertos TCP/81, quedando a la espera de
comandos. Esta opción puede ser usada para actualizar al
propio gusano. Cuando ello sucede, se descarga la nueva
versión que luego se ejecuta para suplantar la anterior.
También intenta descargar de los siguientes dominios, un
archivo llamado ERROR.JPG, que luego copia como RE_FILE.EXE en
la carpeta de Windows\System (o Windows\System32):
www .24-7-transportation .com
www .adhdtests .com
www .aegee .org
www .aimcenter .net
www .alupass .lu
www .amanit .ru
www .andara .com
www .angelartsanctuary .com
www .anthonyflanagan .com
www .approved1stmortgage .com
www .argontech .net
www .asianfestival .nl
www .atlantisteste .hpg .com .br
www .aviation-center .de
www .bbsh .org
www .bga-gsm .ru
www .boneheadmusic .com
www .bottombouncer .com
www .bradster .com
www .buddyboymusic .com
www .bueroservice-it .de
www .calderwoodinn .com
www .capri-frames .de
www .celula .com .mx
www .ceskyhosting .cz
www .cntv .info
www .compsolutionstore .com
www .coolfreepages .com
www .corpsite .com
www .couponcapital .net
www .cpc .adv .br
www .crystalrose .ca
www .cscliberec .cz
www .curtmarsh .com
www .customloyal .com
www .chinasenfa .com
www .DarrkSydebaby .com
www .deadrobot .com
www .dontbeaweekendparent .com
www .dragcar .com
www .ecofotos .com .br
www .elenalazar .com
www .ellarouge .com .au
www .esperanzaparalafamilia .com
www .eurostavba .sk
www .everett .wednet .edu
www .fcpages .com
www .featech .com
www .fepese .ufsc .br
www .firstnightoceancounty .org
www .flashcorp .com
www .fleigutaetscher .ch
www .fludir .is
www .freeservers .com
www .FritoPie .NET
www .gamp .pl
www .gci-bln .de
www .gcnet .ru
www .generationnow .net
www .gfn .org
www .giantrevenue .com
www .glass .la
www .handsforhealth .com
www .hartacorporation .com
www .himpsi .org
www .idb-group .net
www .immonaut .sk
www .ims-i .com
www .innnewport .com
www .irakli .org
www .irinaswelt .de
www .jansenboiler .com
www .jasnet .pl
www .jhaforpresident .7p .com
www .jimvann .com
www .jldr .ca
www .justrepublicans .com
www .kencorbett .com
www .knicks .nl
www .kps4parents .com
www .kradtraining .de
www .kranenberg .de
www .lasermach .com
www .leonhendrix .com
www .magicbottle .com .tw
www .mass-i .kiev .ua
www .mepbisu .de
www .mepmh .de
www .metal .pl
www .mexis .com
www .mongolische-renner .de
www .mtfdesign .com
www .oboe-online .com
www .ohiolimo .com
www .onepositiveplace .org
www .oohlala-kirkland .com
www .orari .net
www .pankration .com
www .pe-sh .com
www .pfadfinder-leobersdorf .com
www .pipni .cz
www .polizeimotorrad .de
www .programmierung2000 .de
www .pyrlandia-boogie .pl
www .raecoinc .com
www .realgps .com
www .redlightpictures .com
www .reliance-yachts .com
www .relocationflorida .com
www .rentalstation .com
www .rieraquadros .com .br
www .scanex-medical .fi
www .sea .bz .it
www .selu .edu
www .sigi .lu
www .sljinc .com
www .smacgreetings .com
www .soloconsulting .com
www .spadochron .pl
www .srg-neuburg .de
www .ssmifc .ca
www .sugardas .lt
www .sunassetholdings .com
www .szantomierz .art .pl
www .the-fabulous-lions .de
www .tivogoddess .com
www .tkd2xcell .com
www .topko .sk
www .transportation .gov .bh
www .travelchronic .de
www .traverse .com
www .uhcc .com
www .ulpiano .org
www .uslungiarue .it
www .vandermost .de
www .vbw .info
www .velezcourtesymanagement .com
www .velocityprint .com
www .vikingpc .pl
www .vinirforge .com
www .wecompete .com
www .worest .com .ar
www .woundedshepherds .com
www .wwwebad .com
www .wwwebmaster .com
Mientras se está ejecutando, intenta finalizar los siguientes
procesos:
alogserv.exe
apvxdwin.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avengine.exe
avpupd.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bawindo.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
defwatch.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
frameworkservice.exe
icssuppnt.exe
icsupp95.exe
luall.exe
lucoms~1.exe
mcagent.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nisum.exe
nopdb.exe
nprotect.exe
nupgrade.exe
outpost.exe
pavfires.exe
pavproxy.exe
pavsrv50.exe
rtvscan.exe
rulaunch.exe
savscan.exe
shstat.exe
sndsrvc.exe
symlcsvc.exe
update.exe
updaterui.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
También intenta borrar las entradas en el registro creadas por
versiones de otros gusanos, como Netsky.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos (no todos ellos pueden estar presentes):
c:\windows\system32\re_file.exe
c:\windows\system32\sysformat.exe
c:\windows\system32\sysformat.exeopen
c:\windows\system32\sysformat.exeopenopen
c:\windows\system32\sysformat.exeopenopenopenopen
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Params
3. Pinche en la carpeta "Params" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre las entradas que
aparezcan de esta lista:
Riga = [valor al azar]
TimeKey = [valor al azar]
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
Sysformat
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\DownloadManager
7. Pinche en la carpeta "DownloadManager" y bórrela.
8. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\DownloadManager
9. Pinche en la carpeta "DownloadManager" y bórrela.
10. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados, simplemente
ejecutamos esos antivirus en su opción de escaneo, sobre la
carpeta que contenga los archivos a revisar). Y por supuesto,
de nada vale usar algún antivirus si no lo mantenemos
actualizado con los upgrades, updates o add-ons
correspondientes. Actualmente, las actualizaciones de la
mayoría de los fabricantes son diarias. No existen los "virus
demasiados nuevos y sin antídotos", la reacción de las casas
de antivirus es inmediata en todos los casos. Pero mejor
pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga referencias
de seriedad, o que no sean medianamente conocidos. Y si se
bajan archivos, proceder como los archivos adjuntos. Copiarlos
a una carpeta y revisarlos con dos o tres antivirus
actualizados antes de optar por ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos el
permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo a
la política de Copyright adoptada por cada uno de ellos, y su
inclusión en nuestro boletín se rige por dichas políticas, sin
embargo, para su uso en otro medio, se deberá solicitar la
debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.videosoft.net.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 1666 Año 9, viernes 28 de enero de 2005
|
Responder a este mensaje
