Mostrando mensaje 123     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1074 Año 7, Lunes 16 de junio de 2003 Fecha: Lunes, 16 de Junio, 2003  23:06:59 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1074 Año 7, Lunes 16 de junio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - XSS y posible Path Disclosure en FreeServers y 50megs 2 - W32/Nimda.L. Infecta archivos .EXE y se propaga en redes 3 - Troj/Mooder. Múltiples variantes, borra archivos 4 - BAT/Antifa. Asunto: "This is where it gets NASTY" _____________________________________________________________ 1 - XSS y posible Path Disclosure en FreeServers y 50megs _____________________________________________________________ http://www.vsantivirus.com/vul-xss-freeservers.htm Por Redacción VSAntivirus vsantivirus@videosoft.net.uy XyborG, Webmaster de Rynho Zeros Web (http://www.rzw.com.ar), ha publicado información sobre varias fallas en los servidores FreeServers y 50Megs, ampliamente utilizados por millones de usuarios, tanto para alojamiento gratuito como de bajo costo de sus páginas. Los errores detectados son del tipo CROSS-SITE-SCRIPTING (XSS), los que permiten introducir en el campo de un formulario o cómo código embebido en una página, cualquier comando o script (javascript, vbs script) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado. Esto posibilitaría también el robo de cuentas con lo cual un atacante podría modificar cualquier sitio Web alojado en esos servidores, sin que éste le pertenezca. Otra posible vulnerabilidad es la que revela el camino de instalación de componentes críticos; o sea el tipo de falla conocido como PATH DISCLOSURE. Posibles ejemplos de estas fallas: * Vulnerabilidad XSS: /cgi-bin/login?password='>[Código] /cgi-bin/[Código] /cgi-bin/sponsored_search?search_location=t%7C&q= [Código]&submit.x=9&submit.y=6 /cgi-bin/sponsored_search?search_location=t%7C&q=[Código] http://[FreeServersSite]/[Código] /cgi-bin/login?redirect='>[Código] * Vulnerabilidad PATH DISCLOSURE: /cgi-bin/show_me?wrap=1&page=[cualquier palabra]/ XyborG informa que se puesto en contacto con los responsables de FreeServers y 50Megs, sin obtener respuesta hasta el momento. * Referencias: Bugs: XSS & posible Path Disclosure en FreeServers & 50megs http://www.rzw.com.ar/article439.html http://www.freeservers.com/ http://www.50megs.com/ Créditos: XyborG, webmaster de http://www.rzw.com.ar/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Nimda.L. Infecta archivos .EXE y se propaga en redes _____________________________________________________________ http://www.vsantivirus.com/nimda-l.htm Nombre: W32/Nimda.L Tipo: Virus infector de archivos Alias: PE_NIMDA.L, W32/Nimda.L@MM, I-Worm.Nimda, Nimda.L, PE_NIMDA.L-O, Virus.W32/PE_Nimda.L Plataforma: Windows 32-bit Tamaño: (varios) Esta variante del Nimda infecta archivos .EXE en forma local y en redes, pero carece de la capacidad de envío masivo por correo electrónico como las variantes anteriores. Tampoco se aprovecha de las mismas vulnerabilidades. Puede infectar todos los archivos con extensión .EXE (ejecutables en formato Portable Executable), cuya ubicación toma de cierta clave del registro. También infecta archivos .EXE en carpetas compartidas en red. Se agrega al principio del archivo infectado, y luego del código del programa host, agrega un DLL malicioso. Generalmente a una máquina infectada llega como dos archivos: _setup.exe riched20.dll Note el primer carácter "_" en "_setup.exe". Ambos archivos son liberados por el gusano en alguna carpeta compartida en red, donde también existan archivos con extensión .DOC (generalmente documentos de Word). El archivo "_setup.exe" contiene además del propio virus, un archivo HOST (o sea el cuerpo original de un archivo infectado), y el DLL "riched20.dll". Este último, contiene a su vez el código para ejecutar a "_setup.exe". Cuando el virus se ejecuta en el disco duro, extrae el HOST al directorio actual (donde se estuviera ejecutando), usando el nombre del virus más un caracter vacío, con la misma extensión. Por ejemplo: NOMBRE.EXE queda como NOMBRE[espacio].EXE = NOMBRE .EXE. Luego habilita los atributos de archivo (+A), sistema (+S) y oculto (+H) del host y lo ejecuta. Si en cambio se ejecuta en una unidad de red, el virus extrae el host en la carpeta de archivos temporales local con un nombre como: mep[xxxx].tmp.exe También activa sus atributos de archivo (+A), sistema (+S) y oculto (+H). [xxxx] representa 2 pares de números hexadecimales, por ejemplo: mep0CF1.tmp.exe mepA210.tmp.exe mep35BB.tmp.exe Después de ejecutarlo, el virus crea o modifica el archivo de Windows WININIT.INI para que el archivo recién creado del host sea borrado en el próximo reinicio de Windows (es un procedimiento normal de Windows al desinstalar o instalar programas): [rename] NUL=[camino y nombre del archivo] Si la computadora infectada es Windows NT, 2000 o XP, el virus crea esta entrada en el registro: HKLM\System\CurrentControlSet\Control\Session Manager \PendingFileRenameOperations = \xx\[camino y nombre del archivo] El virus infecta todos los archivos .EXE que encuentre en las carpetas indicadas en la siguiente clave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\App Paths\ Allí se listan la mayoría de las aplicaciones instaladas en el sistema, casi todas ubicadas en las carpetas de "Archivos de programa". Durante la infección el virus inserta su código malicioso al principio del archivo infectado (host), y el .DLL riched20.dll al final. También conserva el icono original del archivo infectado. Para impedir infectar archivos ya infectados, el virus crea una marca de infección (6Fh) en el offset CFh desde el inicio del archivo: 000000 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 000010 B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 000020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 000030 00 00 00 00 00 00 00 00 00 00 00 00 F8 00 00 00 000040 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68 000050 69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F 000060 74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20 000070 6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 000080 2A 57 56 BA 6E 36 38 E9 6E 36 38 E9 6E 36 38 E9 000090 15 2A 34 E9 6F 36 38 E9 86 29 32 E9 28 36 38 E9 0000A0 ED 2A 36 E9 7E 36 38 E9 6E 36 38 E9 6B 36 38 E9 0000B0 6E 36 39 E9 17 36 38 E9 0C 29 2B E9 61 36 38 E9 0000C0 86 29 33 E9 62 36 38 E9 86 29 3D E9 6F 36 38[6F] Para infectar archivos en recursos compartidos en red, el virus primero enumera todos los recursos y selecciona solo los correspondientes a unidades de disco. Después de ello, busca allí archivos .EXE y .DOC. Cuando los encuentra, infecta los .EXE de la misma forma ya vista. Pero cuando además encuentra archivos .DOC en la misma carpeta, entonces extrae y copia allí el archivo riched20.dll. También busca archivos .DOC y .EXE en todas las subcarpetas del actual recurso compartido. El virus explota una vulnerabilidad de Windows conocida como "Microsoft Windows DLL Search Path Vulnerability". Esta falla ocurre cuando un archivo .DLL requerido por MS Word (como RICHED20.DLL), es ubicado en la misma carpeta donde se encuentra el .DOC que va a ser abierto. En ese caso, Word carga el DLL de esa carpeta en lugar del correspondiente ubicado en el sistema de Windows. Cuando un usuario intenta abrir un documento dentro de la carpeta donde se encuentre el RICHED20.DLL malicioso, Word ejecuta este DLL (también infectado), ejecutando al virus. En sistemas NT, 2000 y XP, el virus crea una cuenta "Guest" como invitado sin contraseñas en la máquina infectada y agrega dicha cuenta en los grupos Administrador y Huésped locales. De ese modo esa cuenta sin contraseña adquiere todos los privilegios del administrador, comprometiendo seriamente la seguridad de los equipos infectados. En un intento de hacer aún más vulnerable una máquina infectada, el virus intenta compartir todos las unidades de disco locales de la C a la Z. Para ello, en sistemas Windows NT, 2000 y XP se vale del comando NET SHARE (C$...Z$), etc. En Windows 95, 98 y Me, crea esta entrada en el registro para hacer lo mismo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Network\LanMan\C HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Network\LanMan\D [... hasta la unidad que exista] Además, el virus cambia los atributos del recurso compartido en la máquina local con accesos de lectura y escritura y sin contraseñas, modificando las correspondientes entradas en el registro (dentro de la carpeta de cada unidad compartida). Ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Network\LanMan\C Flags = 192 (en hexadecimal) Parm1enc = 0 (valor binario cero) Parm2enc = 0 (valor binario cero) Finalmente infecta todos los archivos .EXE que encuentre en todos los recursos que acaba de habilitar como compartidos. En equipos con Windows NT, 2000 y XP, el virus crea un proceso remoto del Explorer, que contiene todas las rutinas maliciosas ya vistas. Esto hace difícil su limpieza con el virus en memoria. Para prevenir cargarse más de una vez en memoria, el virus crea dos mutex (especie de semáforos que le indican que ya está activo), con los siguientes nombres: kkklgyfguMyppp kkklgyfguMyppp2 En equipos Windows 95, 98 y Me, el virus se esconde a si mismo de la lista de procesos visibles (tareas que se muestran al pulsar las teclas CTRL+ALT+SUPR), registrándose como un servicio. * Reparación manual * Deshabilitar las carpetas compartidas Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza. * Cerrar proceso EXPLORER en Windows NT, 2000 y XP Cómo este virus crea un proceso remoto del EXPLORER.EXE infectado en memoria, es necesario reiniciar este proceso. 1. Cierre todas las ventanas abiertas del Windows Explorer abiertas. 2. Abra el Administrador de tareas. Pulse CTRL+SHIFT+ESC y pinche en la lengüeta "Proceso". 3. En la lista de programas en ejecución, localice el EXPLORER o EXPLORER.EXE y seleccione el botón de finalizar tarea. 4. Cierre el Administrador de tareas. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Cómo recuperar RICHED20.DLL En Windows 98: 1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter. 2. Marque "Extraer un archivo del disco de instalación" 3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar: RICHED20.DLL 4. Pinche en "Iniciar". 5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación). 6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas). 7. Pinche en "Aceptar". 8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC"). En Windows Me: 1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. 2. Pinche en el botón "Extraer archivo" 3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar: RICHED20.DLL 4. Pinche en "Iniciar". 5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación). 6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas). 7. Pinche en "Aceptar". 8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups"). En Windows XP: 1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. 2. Pinche en el botón "Expandir archivo" 3. En "Archivo para restaurar" escriba el nombre del archivo a restaurar: RICHED20.DLL 4. En "Restaurar desde" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación). 6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM32" (sin las comillas). 7. Pinche en "Expandir". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \CurrentControlSet \Control \Session Manager 3. Pinche en la carpeta "Session Manager" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: PendingFileRenameOperations 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Network \LanMan 5. Pinche en la carpeta "LanMan" y borre las carpetas "C", "D", "E", etc. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). Nota: Si usted comparte normalmente sus discos en una red, debe volver a hacerlo con el procedimiento normal de Windows, luego de la limpieza de este virus. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Mooder. Múltiples variantes, borra archivos _____________________________________________________________ http://www.vsantivirus.com/mooder.htm Nombre: Troj/Mooder Tipo: Caballo de Troya Alias: W32/Mooder, Trojan.W32.Mooder, W32/Mooder.A, Trojan.Win32.Mooder.a, Trojan.Win32.Mooder.b, Trojan.Win32.Mooder.c, Trojan.Win32.Mooder.d, Trojan.Win32.Mooder.e. Fecha: 16/jun/03 Tamaño: 8,192 bytes Existen variantes de este troyano con pequeñas cambios entre ellos. Básicamente se trata de un código malicioso capaz de borrar archivos en la computadora infectada. Cuando se ejecuta, crea los siguientes archivos (los nombres pueden variar entre las distintas versiones, sobre todo el último archivo): c:\windows\mood.bat c:\windows\mood.cmd c:\windows\mood.exe c:\windows\mood.htm c:\windows\mood.vbs c:\windows\supertoy.exe Cuando se ejecuta lo hace como una aplicación del tipo consola (caja de comandos). Intenta sobrescribir archivos con las siguientes extensiones: .bat .cmd .exe .htm .js .vbs No posee rutinas de propagación. El troyano suele distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad y con cualquier nombre. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros. * Reparación manual * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - BAT/Antifa. Asunto: "This is where it gets NASTY" _____________________________________________________________ http://www.vsantivirus.com/antifa.htm Nombre: BAT/Antifa Tipo: Gusano de Internet (MS-DOS Batch) Alias: Antifa Fecha: 11/jun/03 Tamaño: 28,394 bytes Plataforma: Windows 32-bit Este gusano, se propaga a través de mensajes infectados, a usuarios tomados de la libreta de direcciones de las máquinas infectadas. El mensaje suele tener estas características: Asunto: This is where it gets NASTY Datos adjuntos: bat.antifa.bat Texto: Deutschland von der Karte streichen, Polen muss bis Frankreich reichen! Cuando se ejecuta el adjunto, el gusano se copia a si mismo en el directorio raíz con el mismo nombre y crea estos archivos: c:\bat.antifa.bat c:\Antifa.vbs C:\Pif.pif C:\Windows\Lalelu.bat C:\Windows\OOO.bat También crea esta carpeta: C:\Windows\Destop\_nazis_raus!_\ Modifica el archivo WIN.INI, agregando la siguiente línea bajo la etiqueta [windows], para autoejecutarse en cada reinicio de Windows: [windows] load=C:\WINDOWS\lalelu.bat También modifica el registro de Windows para autoejecutarse: HKLM\Software\Microsoft\Windows\CurrentVersion\Run bat.antifa = c:\antifa.vbs Además modifica las siguientes claves: HKLM\Software\Microsoft\Windows\CurrentVersion RegisteredOwner = bat.antifa by philet0ast3r RegisteredOrganization = [rRlf] Finalmente, además de propagarse a todos los contactos de la libreta de direcciones cada vez que se reinicia Windows, intenta sobrescribir todos los archivos con extensión .PIF de la máquina infectada. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\bat.antifa.bat c:\Antifa.vbs C:\Pif.pif C:\Windows\Lalelu.bat C:\Windows\OOO.bat También borre esta carpeta: C:\Windows\Destop\_nazis_raus!_\ Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: bat.antifa 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion 5. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el contenido de las siguientes entradas: RegisteredOwner = [nombre del usuario regisrtrado] RegisteredOrganization = [vacío u organización] 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Editar el archivo WIN.INI 1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter. 2. Busque lo siguiente: [windows] load=C:\WINDOWS\lalelu.bat Debe quedar como: [windows] load= 3. Grabe los cambios y salga del bloc de notas. 4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1074 Año 7, Lunes 16 de junio de 2003