Mostrando mensaje 73     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1024, Año 7, Domingo 27 de abril de 2003 Fecha: Domingo, 27 de Abril, 2003  09:44:49 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1024, Año 7, Domingo 27 de abril de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Parche que convierte a Windows XP en una tortuga 2 - VBS/Alphae.A. Asunto: One Year Later>WTC 3 - VBS/Alphae.B. Asunto: YOUR ACCOUNT IS A NIGHTMARE ? 4 - W32/Gaobot.F. Se propaga vía KaZaa y recursos compartidos 5 - ¡Gane su licencia gratis del antivirus NOD32! _____________________________________________________________ 1 - Parche que convierte a Windows XP en una tortuga _____________________________________________________________ http://www.vsantivirus.com/27-04-03.htm Parche que convierte a Windows XP en una tortuga Por Angela Ruiz angela@videosoft.net.uy El parche publicado el pasado 16 de abril por Microsoft (ver "Desbordamiento de búfer en Kernel de WinXP, 2000 y NT4", http://www.vsantivirus.com/vulms03-013.htm), provoca en los usuarios de Windows XP un enlentecimiento global del sistema, según reveló la propia compañía, luego de haber recibido numerosos reportes sobre ese tema. El parche debe ser instalado sobre el Service Pack 1 de Windows XP, y elimina una vulnerabilidad en el modo que el kernel de Windows envía los mensajes de error a un debugger, lo que podría permitir a un atacante crear un programa que ejecutara acciones críticas como borrado de datos, agregado de cuentas con acceso administrativo, o hasta reconfiguración del sistema. Los usuarios de Windows XP que lo instalaron, notaron a partir de entonces una notoria demora en el inicio de algunas aplicaciones (de 10 a 20 segundos). Al remover el parche, la situación vuelve a la normalidad. Microsoft avisó del problema en una actualización de su boletín de seguridad MS03-013, e informó además estar trabajando en la solución. Sin embargo, sugiere que a pesar de ello, se debería considerar el aplicar el parche defectuoso, si el ambiente de uso de la computadora requiere esa protección, al menos hasta que se libere la nueva versión. Recordemos que para que un ataque que se aproveche de esta falla pueda tener algún éxito, el atacante debe logearse al sistema y tener alguna forma interactiva de acceso, bien desde una consola o desde una terminal. Cómo las buenas prácticas recomiendan restringir todo acceso interactivo a los servidores, este aviso afecta sobre todo a los sistemas clientes y servidores terminales. Solo la versión para Windows XP del parche es la que causa problemas. Las demás versiones deberían ser instaladas a la brevedad posible, si aún no se ha hecho, para prevenir cualquier riesgo de seguridad. * Referencias: You May Experience Performance Issues After You Install the 811493 (MS03-013) Package on Your Windows XP SP1... http://support.microsoft.com/?kbid=819634 Desbordamiento de búfer en Kernel de WinXP, 2000 y NT4 http://www.vsantivirus.com/vulms03-013.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - VBS/Alphae.A. Asunto: One Year Later>WTC _____________________________________________________________ http://www.vsantivirus.com/alphae-a.htm Nombre: VBS/Alphae.A Tipo: Gusano de Internet (VBS) Alias: Alphae, VBS.Alphae@mm Fecha: 23/abr/03 Plataforma: Windows 32-bit Tamaño: 34,117 bytes Gusano que se propaga vía correo electrónico, en un mensaje con las siguientes características: Asunto: One Year Later>WTC Texto: World Trade Center>ScreenSaverMemoirs Datos adjuntos: EuroAlph@.html.scr.vbs El adjunto se muestra con tres extensiones, la última y verdadera (.VBS) permanece oculta en una configuración por defecto de Windows. Cuando se ejecuta el supuesto salvador de pantallas, el gusano libera varios archivos maliciosos y modifica la configuración del sistema. También utiliza el cliente de IRC (Internet Relay Chat) mIRC, para obtener acceso no autorizado a la computadora infectada. Acciones: Al ejecutarse, muestra una ventana con el siguiente mensaje: PLEASE DO NOT DISTRUBUTE THIS SCREENSAVER Mientras, modifica el registro agregando varias entradas a la siguiente clave del registro, para ejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Alpha = wscript.exe c:\windows\EuroAlph@.html.scr.vbs % @ = c:\windows\EuroAlph@.html.scr.vbs Soundz = c:\windows\Profiles\Euro.mp3 shUp2 = rundll32keyboard,diable HKCU\Software\Microsoft\Windows\CurrentVersion\RunSevices @ = c:\windows\EuroAlph@.html.scr.vbs Alpha = c:\windows\EuroAlph@.html.scr.vbs JotaPeg = c:\windows\winstart.batvbhide También se copia en las siguientes ubicaciones: C:\Program Files\EuroAlph@.html.vbs C:\Windows\System32\EuroAlph@.html.vbs C:\Windows\Temp\EuroAlph@.html.vbs C:\Windows\System\EuroAlph@.html.vbs C:\My Documents\EuroAlph@.html.vbs C:\Windows\Desktop\EuroAlph@.html.vbs C:\Windows\Start Menu\Programs\StartUp\EuroAlph@.html.vbs C:\Windows\EuroAlph@.html.scr.vbs Y crea los siguientes archivos de texto: c:\Windows\Desktop\!EURO!$!!!!!!!!!ALPHA!!!!!!!!!!.txt C:\My Documents\!EURO!!!!!!!!!!ALPHA!!!!!v!!!!!.txt C:\EURO!!!!!!!!!!ALPHA!!!!!!!!!!.txt Estos archivos contienen el siguiente texto: Hello?... My Name Is Mouse... I Am Hiding Inside Your Computer... I Cannot Find My Way Out....!!! Can You Help Me...? El gusano también crea el siguiente script del mIRC (si el programa está instalado en esa ubicación): C:\Mirc\Script.ini Esto le permite que un intruso pueda acceder a la computadora a través del mIRC. Este script es detectado por los antivirus como IRC.Worm, IRC.Worm.gen, etc. Luego se autoenvía en un correo electrónico con las características ya vistas, a todos los contactos de la libreta de direcciones definida por el Microsoft Outlook y por el Outlook Express. El gusano modifica numerosas entradas en el registro de Windows: Cambia la página de inicio del Internet Explorer: HKCU\Software\Microsoft\Internet Explorer\Main Start Page = http:\\www.angelfire.com\empire\2013\ergot.html Modifica diferentes restricciones y políticas de uso del Internet Explorer: HKCU\Software\Policies\Microsoft\InternetExplorer\Restrictions NoBrowserClose = 1 NoBrowserOptions = 1 NoBrowserSaveAs = 1 NoFileMenu = 1 NoTheaterMode = 1 NoBrowserContextMenu = 1 Modifica diferentes restricciones y políticas de uso del Explorador de Windows y del propio Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoClose = 1 NoInternetIcon = 1 NoControlPanel = 1 NoSMMyDocs = 1 NoSMHelp = 1 NoFavoritesMenu = 1 NoRecentDocsMenu = 1 NoSetFolders = 1 NoNetHood = 1 Clearrecentdocsonexit = 1 NoDesktop = 1 HKU\.DEFAULT\Control Panel\Desktop ScreenSaveUsePassword = 1 Crea una entrada propia: HKLM\Infected\With Author = EuroAlph@ Name = ALPH@ Cambia la información de registro del sistema operativo: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion RegisteredOwner = [una palabra ofensiva en inglés] RegisteredOrganization = EuroAlph@ Y modifica información relacionada con el acceso a la red: HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon DefaultPassword = alpha HKLM\Network\Logon Username = EURO Además, libera en el sistema los siguientes archivos: C:\Windows\services.dll C:\Windows\WinStart.bat C:\Windows\services.reg C:\Windows\Vxdmlt.bat De acuerdo a la fecha, el gusano muestra diferentes mensajes relacionados con la misma. Finalmente muestra un mensaje preguntando al usuario para reiniciar la computadora. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos si existen: C:\EURO!!!!!!!!!!ALPHA!!!!!!!!!!.txt C:\Mirc\Script.ini C:\My Documents\!EURO!!!!!!!!!!ALPHA!!!!!v!!!!!.txt C:\My Documents\EuroAlph@.html.vbs C:\Program Files\EuroAlph@.html.vbs c:\Windows\Desktop\!EURO!$!!!!!!!!!ALPHA!!!!!!!!!!.txt C:\Windows\Desktop\EuroAlph@.html.vbs C:\Windows\EuroAlph@.html.scr.vbs C:\Windows\services.dll C:\Windows\services.reg C:\Windows\Start Menu\Programs\StartUp\EuroAlph@.html.vbs C:\Windows\System\EuroAlph@.html.vbs C:\Windows\System32\EuroAlph@.html.vbs C:\Windows\Temp\EuroAlph@.html.vbs C:\Windows\Vxdmlt.bat C:\Windows\WinStart.bat Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Alpha @ Soundz shUp2 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \RunSevices 5. Pinche en la carpeta "RunSevices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: @ Alpha JotaPeg 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main 7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Policies \Microsoft \InternetExplorer \Restrictions 8. Pinche en la carpeta "Restrictions" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: NoBrowserClose = 1 NoBrowserOptions = 1 NoBrowserSaveAs = 1 NoFileMenu = 1 NoTheaterMode = 1 NoBrowserContextMenu = 1 9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Explorer 10. Pinche en la carpeta "Explorer" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: NoClose = 1 NoInternetIcon = 1 NoControlPanel = 1 NoSMMyDocs = 1 NoSMHelp = 1 NoFavoritesMenu = 1 NoRecentDocsMenu = 1 NoSetFolders = 1 NoNetHood = 1 Clearrecentdocsonexit = 1 NoDesktop = 1 11. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_USERS \.DEFAULT \Control Panel \Desktop 12. Pinche en la carpeta "Desktop" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: ScreenSaveUsePassword = 1 13. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Infected 14. Pinche en la carpeta "Infected" y bórrela. 15. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion 16. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha, bajo la columna "Nombre", cambie las siguientes entradas por el nombre del usuario registrado: RegisteredOwner = [una palabra ofensiva en inglés] RegisteredOrganization = EuroAlph@ 17. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Winlogon 18. Pinche en la carpeta "Winlogon" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DefaultPassword = alpha 19. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Network \Logon 20. Pinche en la carpeta "Logon" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por el verdadero nombre de usuario: Username = EURO 21. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 22. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Cambiar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual". * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - VBS/Alphae.B. Asunto: YOUR ACCOUNT IS A NIGHTMARE ? _____________________________________________________________ http://www.vsantivirus.com/alphae-b.htm Nombre: VBS/Alphae.B Tipo: Gusano de Internet (VBS) Alias: Alphae.B, VBS.Alphae.B@mm Fecha: 24/abr/03 Plataforma: Windows 32-bit Tamaño: 55,126 bytes Gusano que se propaga vía correo electrónico, en un mensaje con las siguientes características: Asunto: YOUR ACCOUNT IS A NIGHTMARE ? [nombre usuario] Texto: We keep receiving complaints of blocked addresses that keep coming on and on... Have You Upgraded Your Browser ? Upgrade Now !!! Datos adjuntos: Sys32.Dll.vbs El adjunto se muestra con dos extensiones, la última y verdadera (.VBS) permanece oculta en una configuración por defecto de Windows. Cuando se ejecuta el supuesto salvador de pantallas, el gusano libera varios archivos maliciosos y modifica la configuración del sistema. También utiliza el cliente de IRC (Internet Relay Chat) mIRC, para obtener acceso no autorizado a la computadora infectada. Acciones: Cuando se ejecuta, el gusano se copia en dos carpetas, una de ellas, la carpeta de inicio de Windows (se ejecuta al reiniciarse o cambiar de usuario): C:\WINDOWS\Menú Inicio\Programas\Inicio\Sys32.Dll.vbs La otra, la crea el gusano: C:\Web-BACKUP1\Sys32.Dll.vbs También se agrega al registro de Windows, para autoejecutarse en cada reinicio: HKCU\Software\Microsoft\Windows\CurrentVersion\Run (Predeterminado) = c:\Web-BACKUP1\Sys32.Dll.vbs Procede entonces a autoenviarse en un mensaje como el ya visto, a todos los contactos de la libreta de direcciones de Windows. Crea el siguiente archivo en la carpeta de archivos temporales de Windows y lo ejecuta: C:\Windows\TEMP\Rundll33.exe Este programa despliega varios mensajes, de acuerdo a la fecha actual. Finalmente muestra un mensaje preguntando al usuario para reiniciar la computadora. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Los archivos sobrescritos deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos si existen: C:\WINDOWS\Menú Inicio\Programas\Inicio\Sys32.Dll.vbs C:\Web-BACKUP1\Sys32.Dll.vbs Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: (Predeterminado) = c:\Web-BACKUP1\Sys32.Dll.vbs 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Gaobot.F. Se propaga vía KaZaa y recursos compartidos _____________________________________________________________ http://www.vsantivirus.com/gaobot-f.htm Nombre: W32/Gaobot.F Tipo: Gusano de Internet Alias: Agobot.F, WORM_AGOBOT.F, BDS/Agobot.015.F, W32/Gaobot.worm, Worm/Agobot, Win32.Agobot.C Fecha: 26/abr/03 Plataforma: Windows 32-bit Tamaño: 104,448 bytes Este gusano se propaga por la red P2P KaZaa, y también a través de recursos compartidos en red. Intenta conectarse a un servidor IRC (Internet Relay Chat), actuando como un BOT (copia de un usuario en un canal de IRC, generado por un programa, y preparado para responder ciertos comandos que se les envía en forma remota). Esto le permite realizar ataques de denegación de servicio a otros usuarios. El gusano posee capacidades de troyano backdoor, lo que habilita el acceso a la computadora infectada, pudiendo entonces controlarla remotamente. Cuando se ejecuta, el gusano crea una copia de si mismo en el directorio System de Windows: c:\windows\system\svhost.exe "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Luego agrega la siguiente entrada al registro para autoejecutarse en próximos reinicios de la computadora: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Svhost Loader = svhost.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Svhost Loader = svhost.exe El gusano se propaga a través de recursos compartidos en redes, tanto abiertos, como protegidos con contraseñas. En este último caso, utiliza una lista de nombres de usuario y contraseñas comúnmente utilizadas (por ejemplo, al hacer instalaciones con las opciones por defecto). También se propaga a través de la red de intercambio de archivos KaZaa, utilizando alguno de los siguientes nombres: [nombre 1] - ADSL Playfix [nombre 1] - Autotuning (for Newbies) [nombre 1] - Cable Modem Playfix [nombre 1] - CD Key Generator [nombre 1] - Character Cheat [nombre 1] - Crack all versions [nombre 1] - Game Trainer [nombre 1] - Idem Duplicator [nombre 1] - Internet Play Fix [nombre 1] - Item Hack [nombre 1] - Map Hack [nombre 1] - Multiplayer Cheat [nombre 1] - Newest Patch [nombre 1] - NOCD Patch [nombre 1] - Tweaking utility [nombre 1] - Unlimited Healt Trainer [nombre 1] - Unlock Everything Trainer [nombre 1] 3D Setup [nombre 1] crack (all versions) [nombre 1] newest version crack Donde [nombre 1] puede ser cualquiera de los siguientes: Action Man Destruction X AFL Live 2003 Asswipe Bandits - Phoenix Rising BANDITS Phoenix Rising Battlefield 1942 Blue's Clues Preschool Bongo Boogie Brixout XP Combat Mission 2 Conflict Desert Storm Deep Fritz 7 Delta Force Black Hawk Down Diablo Diablo 2 Divine Divinity Dogs Playing Poker Duke Nukem Forever Earth 2150 Lost Souls Emperor Emperor Rise of the Middle Kingdom Empire Earth Art of Qonquest Exodus Action Fartknocker Frontline Attack War over Europe Ganja Farmer 2 Halloween High Grow Hoyle Card Games 2003 HOYLE PUZZLE GAMES 2003 Hyper Rails Iron Storm Iron Storm Action Jedi Knight 2 Jeopardy! 2003 Jurassic Park Dinosaur Battles Kango Shicyauzo Kickoff 2002 Law and Order Dead on the Money Links 2003 Links 2003 Championship Courses Madden NFL 2003 Maximum G-Force Coasters Midnight Outlaw Street Racing NHL 2003 No One Lives Forever 2 NOLF2 ParaShooter Pox Puzzle Prisoner Of War Pro Soccer Cup 2002 Project Nomads Puzzles battles of the history Quake 1 Quake 2 Quake 3 Reel Deal Slots Volume II Scarlet Waves Shattered Galaxy Sniper Path of Vengeance Snow Drop Squad Battles Eagles Strike Star Wraith 3 Starcraft Starshatter v3 Stronghold Crusader Taz Wanted The Gates The Sims Unleashed Total Club Manager 2003 Ultimate Pinball Ultimate Ride Disney Coaster Unreal Tournament 2003 Us Open 2002 UT2003 Virtual Resort Virtual Resort Spring Break Virtual Sailor Virtual Skipper 2 Warcraft Warcraft 2 Warcraft 3 World War II X-Plane Zelenhgorm The Great ShipZelenhgorm The Great Ship O alguno de estos nombres: [nombre 2] doing hardcore xxx [nombre 2] getting it on with George W. Bush - XXX [nombre 2] getting it on with Usama Bin Laden - XXX [nombre 2] getting on with it! - XXX [nombre 2] giving VERY good blowjob XXX [nombre 2] in bed with some guy - XXX [nombre 2] is very horny atm - XXX [nombre 2] lesbian love - XXX [nombre 2] nude fucking hardcore xxx huge boobs [nombre 2] spreading VERY wide!! - XXX [nombre 2] sucking dick - XXX [nombre 2], very good pic (must download) - XXX [nombre 2]'s webcam - cracked access - no cost - XXX [nombre 2]'s webcam - view livecast - XXX Anal Sex - [nombre 2] - XXX Big Boobs Part II XXX - [nombre 2] Big Tits XXX - [nombre 2] buttfuckin [nombre 2] - XXX Celebrity XXX - [nombre 2] cum all over [nombre 2] - XXX Free [nombre 2] celeb pics xxx playboy fuck port huge boobs nude hardcore - XXX h4x [nombre 2]'s c0mput3r 4nd s3nd h3r 3m41l - mus7 d0wnl04d - 1337 h4x0r - XXX Hardcore XXX - [nombre 2] Huge Tits XXX - [nombre 2] Instant access to [nombre 2]-picture download - XXX oh my, horny [nombre 2]- XXX Pictures of [nombre 2] - hot pics! - XXX Sexy [nombre 2] nude pics xxx playboy porn pics Spreading Wide XXX - [nombre 2] Watch [nombre 2] sucking and fucking - XXX Donde [nombre 2] puede ser cualquiera de los siguientes: Alessandra Ambrosia Amanda Peet Anna Kournikova Ashley Judd Belinda Chapple Britney Spears Cameron Diaz Carmen Electra Chandra North Charlize Theron Christina Aguilera Donna D'Erico Emma Sjoberg Gillian Anderson Halle Berry Helena Christensen Jessica Alba Jolene Blalock Karina Lombard Kate Moss Katie Price Kelly Hu Kirsten Dunst Kylie Bax Kylie Minogue Lexa Doig Michelle Behennah Pamela Anderson Salma Hayek Samantha Mumba Sandra Bullock Shakira Stacey Keibler * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\svhost.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Svhost Loader 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Svhost Loader 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - ¡Gane su licencia gratis del antivirus NOD32! _____________________________________________________________ ¡Ya se entregaron tres licencias del antivirus Nod32! El viernes 25 de abril se realizó el sorteo de la tercera de las cinco licencias del antivirus Nod32, que VSAntivirus.com ha decidido compartir con sus lectores para festejar la edición número 1000 de su boletín. Gracias a Ontinet.com, distribuidor exclusivo en España del producto, Luis Parra de Chile, es el feliz poseedor de un paquete antivirus Nod32. Estos son los datos: * Tercer ganador (25/abr/03): - Primer premio lotería uruguaya viernes 25/abr/04: 11654 http://www.loteria.gub.uy/loteria_20030425.htm - Ganador por aproximación (11659): Luis Parra (Chile) Formulario enviado el 7/04/2003 19:25 * Segundo ganador (11/abr/03): - Primer premio lotería uruguaya viernes 11/abr/04: 03469 http://www.loteria.gub.uy/loteria_20030411.htm - Ganador por aproximación (03400): Miguel Domínguez (España) Formulario enviado el 2/04/2003 15:43 * Primer ganador (4/abr/03): - Primer premio lotería uruguaya viernes 4/abr/04: 03665 http://www.loteria.gub.uy/loteria_20030404.htm - Ganador por aproximación (03655): David León Magaña (México) Formulario enviado el 2/04/2003 18:56 El próximo viernes 2 de mayo sorteamos la cuarta licencia. * Formulario de inscripción 1. Para participar en el sorteo de las dos licencias restantes del antivirus Nod32 ingrese su dirección electrónica, nombre y país en el formulario de la siguiente página: http://www.vsantivirus.com/sorteo.htm 2. En un plazo no mayor de 12 horas, recibirá un número generado al azar con el que participará. Dicho número es único y será válido hasta la finalización del sorteo. Sin embargo, se aceptará solo un acierto por número. 3. Cada fin de semana hasta completar el sorteo de las cinco licencias, todo número coincidente con las cifras finales del primer premio del sorteo semanal de la Lotería Uruguaya (http://www.loteria.gub.uy/default.htm), se hará acreedor de la licencia válida por un año de un paquete personal del Antivirus Nod32, cedido a VSAntivirus por Ontinet.com, S.L, distribuidor exclusivo en España del mismo. 4. En caso de no coincidir ningún número con el primer premio, se hará acreedor el más cercano al mismo y se publicará su nombre en nuestro sitio. Para evitar el SPAM, no se mostrará su dirección de correo completa. 5. El ganador será avisado de los pasos siguientes para hacerse de su premio. Su número no participará en el resto de los sorteos hasta completar los cinco paquetes sorteados. 6. Podrán participar todos los suscritos a nuestro boletín, y no se enviará más de un número por dirección suscrita. 7. Si la dirección electrónica utilizada no coincide con la de un usuario registrado, no será enviado ningún número para participar. Asegúrese de que la dirección es la misma que figura al pie de cada boletín, donde dice : "Este boletín es enviado a: [aquí va su dirección]" 8. Los sorteos se realizarán todos los viernes hasta entregar las cinco licencias de Nod32. * Más información: Festejamos los 1000 regalando cinco licencias de Nod32 http://www.vsantivirus.com/sorteo-1000.htm Ya tiene dueño otra licencia de Nod32 http://www.vsantivirus.com/ganadores.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1024, Año 7, Domingo 27 de abril de 2003