Mostrando mensaje 122     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1073 Año 7, Domingo 15 de junio de 2003 Fecha: Domingo, 15 de Junio, 2003  21:46:22 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1073 Año 7, Domingo 15 de junio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - XSS en servidores de Lycos (incluye Tripod.lycos.es) 2 - Múltiples vulnerabilidades en Sphera HostingDirector 3 - W32/Aldem.A. Usa e-mail (Melda.scr), KaZaa e IRC 4 - W32/Crock.A. Simula ser el Yahoo! Messenger _____________________________________________________________ 1 - XSS en servidores de Lycos (incluye Tripod.lycos.es) _____________________________________________________________ http://www.vsantivirus.com/vul-xss-lycos.htm XSS en servidores de Lycos (incluye Tripod.lycos.es) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Lorenzo Hernandez Garcia-Hierro de Novappc.com ha reportado importantes agujeros de seguridad en los servidores de autenticación de Lycos (Lycos Authentication Server). Se trata de los servidores que gestionan las bases de datos de todos los usuarios y sus respectivas contraseñas para permitir o no, el acceso a los recursos solicitados en Lycos. Esto incluye el popular sitio de alojamiento gratuito http://www.tripod.lycos.es/. Estos servidores son afectados por múltiples vulnerabilidades del tipo CROSS-SITE-SCRIPTING (XSS). Este tipo de falla permite a un atacante introducir en el campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado. En este caso el agujero se produce en la forma en que se construye el formulario para el login (CGI), más específicamente en la variable "m_CBURL", de modo que puede emplearse algo tan simple como: /cgi-bin/mayaLogin?m_CBURL=">[Código] Adicionalmente, existen errores en el servidor de noticias de Lycos (Lycos News server) que también permiten explotar fallos del tipo XSS, enviando código en la siguiente forma: /news/photo.asp?section=BreakingPhotos&photoId=352417">[Código] Existen ejemplos de estas fallas con exploits incluidos y sus pruebas de concepto. Lycos es una compañía de Terra Networks, S.A Créditos: Lorenzo Hernandez Garcia-Hierro <novappc@novappc.com> * Relacionados: http://security.novappc.com http://ldbauth.lycos.com/ http://news.lycos.com/ http://www.tripod.lycos.es/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Múltiples vulnerabilidades en Sphera HostingDirector _____________________________________________________________ http://www.vsantivirus.com/vul-xss-sphera.htm Múltiples vulnerabilidades en Sphera HostingDirector Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Sphera HostingDirector es un software que ofrece una administración centralizada para cientos de páginas Web desde un solo servidor. Integra en un solo paquete componentes fundamentales para ofrecerle el máximo control sobre sus sitios a revendedores y propietarios, ejecutándose tanto en Linux como en Windows. Lorenzo Hernandez Garcia-Hierro de Novappc.com ha encontrado sendas vulnerabilidades del tipo CROSS-SITE-SCRIPTING (XSS) en el componente VDS del HostingDirector. El Virtual Dedicated Server (VDS) es la plataforma que posibilita el control sobre el servidor de cada sitio Web, desde un panel de control, en un entorno amigable e intuitivo. Una vulnerabilidad XSS (CSS), permite que se pueda introducir código en forma clandestina, dentro del campo de un formulario o código embebido en una página, con consecuencias imprevisibles. Según Garcia-Hierro, el problema ocurre por una mala implementación de un TAG (código de formateo utilizado en documentos HTML), y al no validarse adecuadamente la entrada de código. También una variable interna (success_msg), es vulnerable a esta falla, con lo que se puede ingresar código HTML y scripts al introducir un URL en el campo de un formulario (Uniform Resources Locator o Localizador Uniforme de Recursos, es el "apuntador" a la ubicación de cualquier archivo, como por ejemplo una página HTML). Algunos ejemplos: /login/sm_login_screen.php?uid=">[Código] /login/sm_login_screen.php?error=">[Código] El código puede combinarse con otras variables para emular un mensaje de error verdadero, como "Contraseña o nombre de usuario incorrecto, vuelva a ingresarlo", lo que habilita el hurto de los datos del usuario. Por otra parte, Garcia-Hierro también menciona que Sphera emplea para sus datos el algoritmo de encriptación DES (Data Encription Standard), que utiliza bloques de 64 bits y una clave de 56 bits, pero considerado anticuado hoy día. Además de ello, los scripts del panel de control no verifican si se utiliza HTTPS:, permitiendo conexiones por el puerto 80 sin SSL (Secure Socket Layer), un protocolo que utiliza criptografía para cifrar los datos que se intercambian con un servidor seguro. Otra grave falla, es la que permite el robo de una sesión. El componente VDS de Sphera HostingDirector no finaliza la sesión del usuario mientras éste no cierre el panel de control, manteniendo "viva" la cookie correspondiente. Esto puede ser un grave problema de seguridad que permita a un atacante secuestrar la identificación del usuario, o generar sesiones en forma randómica. Una explicación: Imagine que usted recibe una primera identificación de usuario (ID) cómo esta: xx01xx01xxX Y la próxima sesión es ésta: xx01xx02Xxx En el ejemplo, la primera sesión ID difiere muy poco con la segunda sesión, lo que significa un función randómica pobre. Un atacante puede crear un algoritmo o un script para generar sesiones válidas, que podría ser usado para ingresar a los sistemas cambiando únicamente el valor USER ID (identificación del usuario). Existen otras opciones para explotar esto, generando perfiles de usuario al azar, pero son complicadas de implementar en forma remota, aunque no imposible. Otra falla podría estar relacionada con un típico desbordamiento de búfer que podría provocar un ataque de denegación de servicio (DoS) o ejecución de comandos. Algunos archivos PHP utilizados por el panel de control del entorno VDS, pueden causar desbordamientos del STACK al no controlar el software el largo de ciertas variables utilizadas, con la posibilidad de inyectar y ejecutar comandos. Esta falla permite incluso realizar acciones en las cuentas de otros usuarios (o sea otras cuentas de hosting en el mismo servidor virtual), como por ejemplo cambio de contraseñas, reinicio del servidor virtual o desactivación del software de vigilancia (watch-dog), entre otras posibilidades. Todas estas vulnerabilidades afectan a las versiones 3.x, 2.x y 1.x de Sphera HostingDirector y Virtual Dedicated Server (VDS) Final User Control Panel (Hosting Control Panel). Créditos: Lorenzo Hernandez Garcia-Hierro <novappc@novappc.com> * Relacionados: http://security.novappc.com/ http://www.sphera.com/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Aldem.A. Usa e-mail (Melda.scr), KaZaa e IRC _____________________________________________________________ http://www.vsantivirus.com/aldem-a.htm Nombre: W32/Aldem.A Tipo: Gusano de Internet Alias: W32.HLLW.Aldem@mm Fecha: 10/jun/03 Plataforma: Windows 32-bit Tamaño: 39,936 bytes Este gusano está programado en Borland C++ y comprimido con la utilidad UPX. Es capaz de enviarse masivamente a través del correo electrónico, canales de IRC (Internet Relay Chat) utilizando el mIRC, y a través de la red de archivos compartidos KaZaa. También posee características de caballo de Troya e intenta finalizar los procesos activos de conocidos antivirus y cortafuegos. Los mensajes enviados por correo electrónico tienen estas características: Asunto: Re: Datos adjuntos: Melda.scr (39,936 bytes) Texto: Look at The Attachments for Secret Pictures of My Girl Friend.. Cuando se ejecuta, se copia en la carpeta de Windows: c:\windows\Systools.exe c:\windows\Melda.scr Y modifica el registro para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run System Toolkit = c:\windows\Systools.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices System Toolkit = c:\windows\Systools.exe También crea o sobrescribe las siguientes entradas: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System NoDispCPL = "1" DisableRegistryTools = "1" HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden = "1" Además finaliza los siguientes procesos si alguno está activo en la computadora infectada: _Avpcc.exe _avpm.exe Ackwin32.exe Anti-trojan.exe Apvxdwin.exe Autodown.exe Avconsol.exe Ave32.exe Avgctrl.exe Avkserv.exe Avnt.exe Avp.exe Avp32.exe Avpcc.exe Avpdos32.exe Avpm.exe Avptc32.exe Avpupd.exe Avsched32.exe Avwin95.exe Avwupd32.exe Blackd.exe Blackice.exe Cfiadmin.exe Cfiaudit.exe Cfinet.exe Cfinet32.exe Claw95.exe Claw95cf.exe Cleaner.exe Cleaner3.exe Dvp95.exe Dvp95_0.exe Ecengine.exe Esafe.exe Espwatch.exe F-agnt95.exe Findviru.exe Fprot.exe F-prot.exe F-prot95.exe Fp-win.exe Frw.exe F-stopw.exe Iamapp.exe Iamserv.exe Ibmasn.exe Ibmavsp.exe Icload95.exe Icloadnt.exe Icmon.exe Icsupp95.exe Icsuppnt.exe Iface.exe Iomon98.exe Jedi.exe Lockdown2000.exe Lookout.exe Luall.exe Moolive.exe Mpftray.exe N32scanw.exe Navapw32.exe Navlu32.exe Navnt.exe Navw32.exe Navwnt.exe Nisum.exe Nmain.exe Normist.exe Nupgrade.exe Nvc95.exe Outpost.exe Padmin.exe Pavcl.exe Pavsched.exe Pavw.exe Pccwin98.exe Pcfwallicon.exe Persfw.exe Rav7.exe Rav7win.exe Regedit.exe Rescue.exe Safeweb.exe Scan32.exe Scan95.exe Scanpm.exe Scrscan.exe Serv95.exe Smc.exe Sphinx.exe Sweep95.exe Tbscan.exe Tca.exe Tds2-98.exe Tds2-nt.exe Vet95.exe Vettray.exe Vscan40.exe Vsecomr.exe Vshwin32.exe Vsstat.exe Webscanx.exe Wfindv32.exe Zonealarm.exe Para enviarse por correo electrónico, utiliza las facilidades MAPI de Windows para enviar mensajes infectados como se describió antes. MAPI (Messaging Application Programming Interface) es una interface de programación utilizada por las aplicaciones que gestionan correo electrónico, servicios de mensajería, trabajos en grupo, etc. También se copia a la carpeta compartida por defecto del KaZaa, la conocida utilidad de intercambio de archivos entre usuarios (P2P). Algunos de los nombres que utiliza: HardCore - College Webcam.scr HardCore Action In The School.scr Hotmail Hack.exe Icq Hack.exe Norton Antivirus 2003 Professional Edition.exe Norton Internet Security 2003 Professional.exe Penis Enlargement Secrets.scr PornStar in Hardcore Action.scr Spy Cam - Girl Masterbating.scr StarCraft Battle.net Keygen.exe StarCraft Maphack.exe Systools.exe WarCraft 3 Battle.net Key Generator.exe WarCraft 3 MapHack.exe Windows XP Key Generator.exe Windows XP Keygen.exe Crea el siguiente archivo para controlar el mIRC, el conocido cliente de IRC, de modo de propagarse a través de los canales de chat visitados por la víctima infectada: c:\windows\SysScript.exe * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\Systools.exe c:\windows\Melda.scr c:\windows\SysScript.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Copiar REGEDIT.EXE como REGEDIT.COM Debido a que el gusano modifica el registro para que no se puedan ejecutar REGEDIT.EXE, se debe hacer una copia de este editor con la extensión .COM antes de ejecutarlo. 1. Pinche en "Inicio", "Ejecutar", escriba lo siguiente y pulse Enter: command Se abrirá una pantalla de MS-DOS 2. Escriba los siguientes comandos y pulse Enter al final de cada línea: - En Windows 95, 98, Me y XP teclee: cd\ cd Windows - En Windows NT y 2000 teclee: cd\ cd Winnt En todos los sistemas, teclee luego: copy regedit.exe regedit.com start regedit.com * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: System Toolkit 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: System Toolkit 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \System 7. Pinche en la carpeta "System" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: NoDispCPL DisableRegistryTools 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Crock.A. Simula ser el Yahoo! Messenger _____________________________________________________________ W32/Crock.A. Simula ser el Yahoo! Messenger http://www.vsantivirus.com/crock-a.htm Nombre: W32/Crock.A Tipo: Gusano de Internet Alias: W32/Danvee.A, W32.Danvee@mm, I-Worm.Crock, Worm/Crock, Win32/Crock.A Fecha: 13/jun/03 Tamaño: 11,776 bytes Plataforma: Windows 32-bit Este gusano de envío masivo utiliza el Microsoft Outlook y Outlook Express para enviarse. Los mensajes tienen estas características: Asunto: Your free yahoo account and file! Datos adjuntos: [variable] (11,776 bytes) Cuerpo del mensaje: YahooID: [nombre de usuario] password: [contraseña] Asunto: Yahoo Game House Datos adjuntos: Crock.exe (11,776 bytes) Cuerpo del mensaje: From the makers of Yahoo Game House, here is a new game from vAndEEd0! The Crock Yahooligans! Out kool En ocasiones el adjunto se llama CROCK.EXE, aunque por lo general es variable, y casi siempre .EXE, pero se muestra con el icono del Yahoo! Messenger. [ver imagen http://www.vsantivirus.com/crock-a.htm] El virus es capaz de acabar los procesos de varios antivirus y otros conocidos programas de seguridad y está escrito en Microsoft Visual Basic y comprimido con la herramienta UPX. Cuando se ejecuta (doble clic), el gusano muestra una ventana con el mismo icono, solicitando el nombre de usuario de Yahoo (Yahoo ID) y su contraseña: Connect to everything in Y! Yahoo ID [ ] Password [ ] [ OK ] [ Cancel ] Si se pulsa en el botón de [OK], envía el primero de los mensajes descriptos al principio con los datos ingresados por el usuario. Si se cancela el proceso, el gusano envía el segundo mensaje. En ambos casos, los mensajes son enviados a toda la libreta de direcciones del usuario infectado. Luego, copia estos archivos en la carpeta de Inicio de Windows (el .EXE es una copia del propio gusano): crock.exe crock.scr crock.bat Las carpetas de inicio posibles (en este caso) son: Windows 95, 98 y Me: C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio Windows XP y 2000: C:\Documents and Settings \All Users\Menú Inicio\Programas\Inicio Windows NT: C:\WinNT\Profiles \All Users\Menú Inicio\Programas\Inicio Agrega las siguientes entradas al registro de Windows: HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion System Signature El gusano intenta finalizar cualquiera de los siguientes procesos que se estén ejecutando en la memoria de la máquina infectada: _Avp Ackwin32 Anti-Trojan Apvxdwin Avconsol Avkserv Avnt Avp AVP MONITOR AVPMON Avsched32 Avwin95 Avwupd32 BLACKICE Blackice Esafe F-Agnt95 F-Prot Fprot Fp-Win F-STOPW F-Stopw IOMON98 Lockdown2000 N32scanw NAI_VS_STAT Nav Nisum Nmain Normist Nupgrade Nvc95 Outpost Padmin Pavcl Pavsched Pavw Pccwin98 Pcfwallicon Persfw POP3TRAP Rav Rescue Safeweb Scan Serv95 Sweep Tbscan Vet95 Vscan40 Vshwin32 Webscanx Wfindv32 Zonealarm * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar los archivos creados por el gusano. En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: crock.exe; crock.scr; crock.bat 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: crock.exe; crock.scr; crock.bat 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Busqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Microsoft \Windows \CurrentVersion 3. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: System Signature 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Actualizaciones: 15/jun/03 - Se actualiza descripción 15/jun/03 - Alias: Worm/Crock, Win32/Crock.A 15/jun/03 - Se cambió el nombre a W32/Crock.A (antes W32/Danvee.A) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1073 Año 7, Domingo 15 de junio de 2003