Mostrando mensaje 692     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1643 Año 9, miércoles 5 de enero de 2005 Fecha: Miercoles, 5 de Enero, 2005  01:03:14 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1643 Año 9, miércoles 5 de enero de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Inescrupulosos se aprovechan del desastre del Tsunami 2 - Encubrimiento de dirección real en Mozilla y Firefox 3 - W32/Breacuk.E. Usa mensajes en español y otros idiomas 4 - W32/Breacuk.D. Usa mensajes en español y otros idiomas 5 - W32/Breacuk.C. Usa mensajes en español y otros idiomas _____________________________________________________________ 1 - Inescrupulosos se aprovechan del desastre del Tsunami _____________________________________________________________ http://www.vsantivirus.com/ev-05-01-05.htm Inescrupulosos se aprovechan del desastre del Tsunami Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Mensajes intentando aprovechar en forma criminal la tragedia ocasionada por el Tsunami en Asia han comenzado a distribuirse por Internet, según advirtió hoy Eset (NOD32), al informar sobre la aparición de estafas de correo electrónico (scams) que intentan recolectar dinero valiéndose de tan reciente desastre. Los criminales normalmente se aprovechan de la preocupación de la gente por las victimas de tragedias enviando millones de mensajes de correo electrónico no solicitados pidiendo por ayuda financiera a depositar en una cuenta bancaria en particular, o a través de donaciones a sitios web enlazados desde el mensaje de correo electrónico. Por ejemplo, tras los ataques del 11 de Septiembre (Estados Unidos) y la crisis de rehenes en Beslan (Rusia), comenzaron a circular varias de estas estafas. Aunque la mayoría de estos mensajes son preparados para parecer legítimos, quienes quieran ayudar haciendo donaciones deben prestar atención a las siguientes recomendaciones: * ¿Cómo detectar una estafa (scam)? - Si UD. no se registró para recibir pedidos de donaciones legitimas de alguna organización de caridad, en la mayoría de los casos los mensajes pidiendo por ayuda que vienen de esas organizaciones son falsos, dado que los organismos de caridad no suelen enviar mensajes no solicitados. - No se engañe por las apariencias. Los mensajes pueden parecer legítimos copiando los gráficos y el lenguaje que podría utilizar la verdadera organización. Muchos incluyen trágicas historias de las víctimas del desastre. - No haga clic en los enlaces. Los enlaces en los mensajes pueden parecer legítimos, pero muchas veces llevan a sitios especialmente preparados para parecerse a los originales. * Realizando donaciones reales - Mientras algunos mensajes pueden parecer genuinos, es muy difícil confirmar el origen de los mensajes y que la donación llegue a destino. - Escriba la URL (dirección web) de una organización de caridad directamente en su navegador en lugar de hacer clic en un enlace de un mensaje de correo electrónico. - Si accede directamente al sitio web de una organización de caridad, siga las instrucciones detalladas para enviar donaciones. Eso asegurará que los fondos lleguen a destino. "Es un triste hecho que los criminales toman ventaja del sufrimiento ajeno para explotar la buena voluntad de la gente en su propio provecho. Queremos instar a la gente a hacer donaciones directamente a organizaciones de ayuda reconocidas para asegurarse que los fondos dados son usados correctamente", dice Andrew Lee, CTO de Eset. "Además, sospeche de cualquier mensaje de correo electrónico que le llegue en las próximas semanas y diga tener imágenes de áreas de desastre en un archivo adjunto. En esos casos, lo más probable es que el archivo adjunto contenga un virus. Es siempre recomendable que los usuarios de Internet solamente habrán archivos adjuntos a mensajes que esperan recibir". Muchos programadores de virus se aprovechan de eventos específicos, como bien puede ser la tragedia ocasionada por el Tsunami, para atraer la atención de los usuarios de Internet y llevarlos a abrir un archivo adjunto. Por lo tanto, desconfié de cualquier mensaje que reciba de aquí en más que contenga un archivo adjunto y hable sobre este o cualquier otro desastre natural. (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: www.enciclopediavirus.com/noticias/verNoticia.php?id=512 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Encubrimiento de dirección real en Mozilla y Firefox _____________________________________________________________ http://www.vsantivirus.com/vul-mozilla-firefox-050105.htm Encubrimiento de dirección real en Mozilla y Firefox Por Angela Ruiz angela@videosoft.net.uy Secunia Research ha reportado una vulnerabilidad en Mozilla y Mozilla Firefox, que podría ser explotada por un usuario malicioso para engañar sobre la dirección real de un archivo, al ser mostrada ésta en la ventana de descarga. El problema se produce por un error durante la gestión de nombres largos, cuando estos incluyen el subdominio y el camino completo del archivo. En determinados casos, se puede utilizar el fallo para encubrir la dirección real del archivo a descargar, permitiendo a un atacante hacer creer a su víctima que se está realizando desde un sitio de confianza. La vulnerabilidad ha sido confirmada en Mozilla 1.7.3 para Linux, Mozilla 1.7.5 para Windows, y Mozilla Firefox 1.0. Otras versiones también podrían ser afectadas. * Solución No hay solución oficial para este problema. Se recomienda no hacer clic sobre enlaces no solicitados, o cuando se visitan sitios que no sean de confianza o conocidos. * Créditos: Jakob Balle, Secunia Research. * Relacionados: Mozilla / Mozilla Firefox Download Dialog Source Spoofing http://secunia.com/secunia_research/2004-15/advisory/ Mozilla / Mozilla Firefox Download Dialog Source Spoofing (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Breacuk.E. Usa mensajes en español y otros idiomas _____________________________________________________________ http://www.vsantivirus.com/breacuk-e.htm Nombre: W32/Breacuk.E Tipo: Gusano de Internet Alias: Breacuk.E, Email-Worm.Win32.Breacuk.e, NewHeur_PE, W32/Beaker-B, W32/Breacuk.A@mm, W32/Breacuk.b@MM, W32/Breacuk.D, Win32.Breacuk.E@mm, WORM_BEAKER.B Fecha: 25/dic/04 Plataforma: Windows 32-bit Tamaño: 19,643 bytes Gusano que se propaga por correo electrónico, con asuntos y mensajes en diferentes idiomas, entre ellos español. Para enviarse a otros equipos, utiliza su propio motor SMTP (Simple Mail Transfer Protocol), de tal modo que no importa que cliente de correo se tenga instalado. Para propagarse, busca direcciones de correo en diferentes archivos del sistema. El gusano crea múltiples copias de si mismo con nombres al azar en el sistema infectado. Sin embargo la presencia de un archivo B6.LOG y el archivo CODM sin extensión en la carpeta TASKS de Windows, pueden ser un indicio de infección. NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). El gusano puede presentarse en mensajes con las siguientes características: De: [uno de los siguientes nombres falsos] Abelardo Aberto Andrew Annina Astrid Augusta Baiardo Bandini Brad Calino Carl cio Cipriano Charlize Chele Dalia Damiano Dorum Eldonia Elmo Erwin Fabio Fabr Gabriele Gillaine Glor Heinrich Henry Ivone Jader JCarlos Jenni Jos Karl Kelson Klaus Leeroy Liam lida lie Ludwig Luis Mar Marta Michael Nerea Oskar Parph Paula Pedro Pepe Rafael Richard Sara Tom ucena vina Wilburge Wilhem William Wolfgang Yvonnelle Asunto: [uno de los siguientes] - deseja um ano feliz! - lei desidera un anno felice! - Te deseo un feliz a - U wenst een gelukkig jaar! - Vous dTsirez une annTe heureuse! - You desire a happy year! Texto del mensaje: [uno de los siguientes] - ¡¡Buon Natale!! - ¡¡Feliz Navidad!! - ¡¡Joyeux Noel!! - ¡¡Merry Christmas!! - ¡¡Natal feliz!! - ¡¡Vrolijke Kerstmis!! Datos adjuntos: [uno de los siguientes] Brief_Kerstmis5.zip carta_navidad551.zip l578.zip letter_Christmas512.zip Natal_de_letra1.zip Natale_di_lettera21.zip Cuando el contenido del adjunto es ejecutado (doble clic), el gusano se copia varias veces, todas con nombres al azar, en las siguientes carpetas del sistema: c:\windows\system32\Fonts c:\windows\system32\ServicePackFiles\i386 c:\windows\system32\system c:\windows\system32\system32 c:\windows\system32\Tasks Además, se copia a si mismo con los siguientes nombres en las siguientes ubicaciones: c:\windows\system32\$NtServicePackUninstall$\cmd.exe c:\windows\system32\$NtServicePackUninstall$\msconfig.exe c:\windows\system32\$NtServicePackUninstall$\regedit.exe c:\windows\system32\$NtServicePackUninstall$\taskmgr.exe c:\windows\system32\$NtServicePackUninstall$\wupdmgr.exe c:\windows\system32\command.com c:\windows\system32\PCHEALTH\HELPCTR\Binaries\msconfig.exe c:\windows\system32\regedit.exe c:\windows\system32\ServicePackFiles\i386\cmd.exe c:\windows\system32\ServicePackFiles\i386\msconfig.exe c:\windows\system32\ServicePackFiles\i386\regedit.exe c:\windows\system32\ServicePackFiles\i386\taskmgr.exe c:\windows\system32\system\msconfig.exe c:\windows\system32\system\systray.exe c:\windows\system32\system32\cmd.exe c:\windows\system32\system32\dllcache\cmd.exe c:\windows\system32\system32\dllcache\regedit.exe c:\windows\system32\system32\dllcache\regedt32.exe c:\windows\system32\system32\dllcache\taskmgr.exe c:\windows\system32\system32\dllcache\wupdmgr.exe c:\windows\system32\system32\regedt32.exe c:\windows\system32\system32\taskmgr.exe c:\windows\system32\system32\wupdmgr.exe c:\windows\system32\wupdmgr.exe Crea una copia comprimida (.ZIP) de si mismo con el nombre de B6.LOG en la siguiente ubicación: c:\windows\system32\Tasks\b6.log Crea la siguiente copia de si mismo en formato Base64: c:\windows\Tasks\codm Para asegurarse de autoejecución en cada reinicio de Windows, crea las siguientes entradas en el registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\system32\Tasks\[nombre].exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\system32\Fonts\[nombre].exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\system32\System\[nombre].exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\system32\System32\[nombre].exe" Donde "?????" son caracteres al azar, y el [nombre] del gusano es uno de los archivos creados antes también con nombres al azar. Para propagarse por correo electrónico se envía a si mismo en mensajes como el ya descrito, a las direcciones encontradas en archivos con las siguientes extensiones del equipo infectado: .adb .ade .asp .avi .bak .bas .bat .bin .bmp .cfg .cgi .cls .cmd .com .css .csv .ctl .ctt .dat .dbx .dhtm .doc .eml .fdb .frm .htm .html .ihm .imb .img .inf .ini .iso .jpg .js .jsp .log .logs .lst .mda .mdb .mdw .mdx .mp3 .mpg .msg .msi .nch .nfo .nrg .nws .oft .pdf .php .pif .pl .pmr .ppt .rar .rft .rpt .rtf .scr .sfc .sht .shtm .swf .tbb .txt .uni .url .vap .vbs .vcf .wab .wma .wsh .xls .xml .zip Evita propagarse a direcciones electrónicas que contengan las siguientes cadenas en sus nombres: antivirus avp bitdefender box compuserve conclase cracks domain dominio dominiosfree eListas europe gedzac gnu home izhal kaspersky kernel linux list mcafee microsoft MICROSOFT no-ip norman norton panda pandasoft phreaker secure security securityfocus seguridad server servidor sophos steels symantec unix virus virus-l zackyfiles Cuando detecta una conexión a Internet, abre el navegador para intentar mostrar las siguientes imágenes: http:/ /www .?????xed.net/schools/Intermediate/Specials/Assets/navidad.gif http:/ /www .?????bitacora.com/sanber%20navidad.gif http:/ /www .?????.es/~masa/tvs/navidad/navidad2b.gif Para no ejecutarse más de una vez en memoria, el gusano crea el siguiente mutex: -=BreaKer=- * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales de Windows 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Breacuk.D. Usa mensajes en español y otros idiomas _____________________________________________________________ http://www.vsantivirus.com/breacuk-d.htm Nombre: W32/Breacuk.D Tipo: Gusano de Internet Alias: Breacuk.D, Email-Worm.Win32.Breacuk.d, WORM_BEAKER.D, NewHeur_PE Fecha: 28/dic/04 Plataforma: Windows 32-bit Tamaño: 39,958 bytes (ARM) Gusano que se propaga por correo electrónico, con asuntos y mensajes en diferentes idiomas, entre ellos español. Para enviarse a otros equipos, utiliza su propio motor SMTP (Simple Mail Transfer Protocol), de tal modo que no importa que cliente de correo se tenga instalado. Para propagarse, busca direcciones de correo en diferentes archivos del sistema. El gusano crea múltiples copias de si mismo con nombres al azar en el sistema infectado. Sin embargo la presencia de un archivo B6.LOG y el archivo CODM sin extensión en la carpeta TASKS de Windows, pueden ser un indicio de infección. NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). El gusano puede presentarse en mensajes con las siguientes características: De: [uno de los siguientes nombres falsos] Abelardo Aberto Andrew Annina Astrid Augusta Baiardo Bandini Brad Calino Carl cio Cipriano Charlize Chele Dalia Damiano Dorum Eldonia Elmo Erwin Fabio Fabr Gabriele Gillaine Glor Heinrich Henry Ivone Jader JCarlos Jenni Jos Karl Kelson Klaus Leeroy Liam lida lie Ludwig Luis Mar Marta Michael Nerea Oskar Parph Paula Pedro Pepe Rafael Richard Sara Tom ucena vina Wilburge Wilhem William Wolfgang Yvonnelle Asunto: [uno de los siguientes] - deseja um ano feliz! - lei desidera un anno felice! - Te deseo un feliz año - U wenst een gelukkig jaar! - Vous dTsirez une annTe heureuse! - You desire a happy year! Texto del mensaje: [uno de los siguientes] - ¡¡Buon Natale!! - ¡¡Feliz Navidad!! - ¡¡Joyeux Noel!! - ¡¡Merry Christmas!! - ¡¡Natal feliz!! - ¡¡Vrolijke Kerstmis!! Datos adjuntos: [uno de los siguientes] Brief_Kerstmis5.zip carta_navidad551.zip l578.zip letter_Christmas512.zip Natal_de_letra1.zip Natale_di_lettera21.zip Cuando el contenido del adjunto es ejecutado (doble clic), el gusano se copia varias veces, todas con nombres al azar, en las siguientes carpetas del sistema: c:\windows\Fonts c:\windows\ServicePackFiles\i386 c:\windows\system c:\windows\system32 c:\windows\Tasks Además, se copia a si mismo con los siguientes nombres en las siguientes ubicaciones: c:\windows\$NtServicePackUninstall$\cmd.exe c:\windows\$NtServicePackUninstall$\msconfig.exe c:\windows\$NtServicePackUninstall$\regedit.exe c:\windows\$NtServicePackUninstall$\taskmgr.exe c:\windows\$NtServicePackUninstall$\wupdmgr.exe c:\windows\command.com c:\windows\PCHEALTH\HELPCTR\Binaries\msconfig.exe c:\windows\regedit.exe c:\windows\ServicePackFiles\i386\cmd.exe c:\windows\ServicePackFiles\i386\msconfig.exe c:\windows\ServicePackFiles\i386\regedit.exe c:\windows\ServicePackFiles\i386\taskmgr.exe c:\windows\system\msconfig.exe c:\windows\system\systray.exe c:\windows\system32\cmd.exe c:\windows\system32\dllcache\cmd.exe c:\windows\system32\dllcache\regedit.exe c:\windows\system32\dllcache\regedt32.exe c:\windows\system32\dllcache\taskmgr.exe c:\windows\system32\dllcache\wupdmgr.exe c:\windows\system32\regedt32.exe c:\windows\system32\taskmgr.exe c:\windows\system32\wupdmgr.exe c:\windows\wupdmgr.exe Crea una copia comprimida (.ZIP) de si mismo con el nombre de B6.LOG en la siguiente ubicación: c:\windows\Tasks\b6.log Crea la siguiente copia de si mismo en formato Base64: c:\windows\Tasks\codm Para asegurarse de autoejecución en cada reinicio de Windows, crea las siguientes entradas en el registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\Tasks\[nombre].exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\FONTS\[nombre].exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\System\[nombre].exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\System32\[nombre].exe" Donde "?????" son caracteres al azar, y el [nombre] del gusano es uno de los archivos creados antes también con nombres al azar. Para propagarse por correo electrónico se envía a si mismo en mensajes como el ya descrito, a las direcciones encontradas en archivos con las siguientes extensiones del equipo infectado: .adb .ade .asp .avi .bak .bas .bat .bin .bmp .cfg .cgi .cls .cmd .com .css .csv .ctl .ctt .dat .dbx .dhtm .doc .eml .fdb .frm .htm .html .ihm .imb .img .inf .ini .iso .jpg .js .jsp .log .logs .lst .mda .mdb .mdw .mdx .mp3 .mpg .msg .msi .nch .nfo .nrg .nws .oft .pdf .php .pif .pl .pmr .ppt .rar .rft .rpt .rtf .scr .sfc .sht .shtm .swf .tbb .txt .uni .url .vap .vbs .vcf .wab .wma .wsh .xls .xml .zip Evita propagarse a direcciones electrónicas que contengan las siguientes cadenas en sus nombres: antivirus avp bitdefender box compuserve conclase cracks domain dominio dominiosfree eListas europe gedzac gnu home izhal kaspersky kernel linux list mcafee microsoft MICROSOFT no-ip norman norton panda pandasoft phreaker secure security securityfocus seguridad server servidor sophos steels symantec unix virus virus-l zackyfiles Cuando detecta una conexión a Internet, abre el navegador para intentar mostrar las siguientes imágenes: http:/ /www .???et/schools/Intermediate/Specials/Assets/navidad.gif http:/ /www .???cora.com/sanber%20navidad.gif http:/ /www .???.es/~masa/tvs/navidad/navidad2b.gif Para no ejecutarse más de una vez en memoria, el gusano crea el siguiente mutex: -=BreaKer=- * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales de Windows 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Breacuk.C. Usa mensajes en español y otros idiomas _____________________________________________________________ http://www.vsantivirus.com/breacuk-c.htm Nombre: W32/Breacuk.C Tipo: Gusano de Internet Alias: Breacuk.C, WORM_BEAKER.C, Email-Worm.Win32.Breacuk.c, NewHeur_PE Fecha: 28/dic/04 Plataforma: Windows 32-bit Tamaño: 26,112 bytes (PE TeLock) Gusano que se propaga por correo electrónico, con asuntos y mensajes en diferentes idiomas, entre ellos español. El texto del mensaje intenta hacer creer que el archivo enviado está limpio de virus (jamás debemos abrir adjuntos no solicitados, sin importar el remitente y mucho menos en mensajes que no podemos comprobar). Para enviarse a otros equipos, utiliza su propio motor SMTP (Simple Mail Transfer Protocol), de tal modo que no importa que cliente de correo se tenga instalado. Para propagarse, busca direcciones de correo en diferentes archivos del sistema. El gusano crea múltiples copias de si mismo con nombres al azar en el sistema infectado. Sin embargo la presencia de un archivo B6.LOG en la carpeta de archivos temporales de Windows (TEMP), y el archivo CODM sin extensión en la carpeta de Windows, pueden ser un indicio de infección. NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. El gusano puede presentarse en mensajes con las siguientes características: Asunto: [uno de los siguientes] - Re:FW: imposs vel s-lo tanto... :P, v - Re:FW:(none) - Re:FW:Aid please! :), to see it - Re:FW:Aide s'il vous plat! :), pour le voir - Re:FW:Ajuda a ajudar-te... :), v - Re:FW:Ayudame a ayudarte... :), miralo - Re:FW:Because it is worth ,to see it - Re:FW:Besser Witz des Jahres:), um es zu sehen - Re:FW:Besserer Idiot des Jahres, um es zu sehen - Re:FW:Besseres Foto des Jahres;), um es zu sehen - Re:FW:Better idiot of the year, to see it - Re:FW:Better joke of the year:), to see it - Re:FW:Better Photo of the year;), to see it - Re:FW:Ce que nous voulions toujours... :), pour le voir - Re:FW:Che cosa abbiamo desiderato sempre... :), vederli - Re:FW:Die schlechtere Sache des Jahres, um es zu sehen - Re:FW:Es gibt kein Leben ohne Tod ...: (, um es zu sehen - Re:FW:Es imposible serlo tanto... :P, miralo - Re:FW:Es ist unm glich, es soviel ...:P zu sein, es zu sehen - Re:FW:Foto migliore dell'anno;), per vederla - Re:FW:Hilfe bitte!:), um es zu sehen - Re:FW:Idiot migliore dell'anno, vederlo - Re:FW:Il est impossible d' tre cela tant de ...:P, le voir - Re:FW:Il n'y a aucune vie sans mort... : (, pour le voir - Re:FW:impossibile a sia tanto... :P, vederlo - Re:FW:It is impossible to be it as much... :P, to see it - Re:FW:La cosa pi?ettosa dell'anno, vederla - Re:FW:La chose plus mauvaise de l'anne, pour le voir - Re:FW:Le meilleur idiot de l'ann e, pour le voir - Re:FW:Lo peor del año, miralo - Re:FW:Lo que siempre quisimos... :). miralo - Re:FW:Meilleure Photo de l'anne;), pour le voir - Re:FW:Mejor chiste del año :),miralo - Re:FW:Mejor chorrada del año, miralo - Re:FW:Mejor Foto del año ;), miralo - Re:FW:Melhor anedota do ano :),v - Re:FW:Melhor Foto do ano ;), v - Re:FW:Mieux plaisanterie de l'anne :), pour le voir - Re:FW:N vida sem morte... :(, v - Re:FW:No hay vida sin muerte... :(, miralo - Re:FW:Non ci vita senza morte... :(, vederla - Re:FW:O mas idiota, v - Re:FW:O pior do ano, v - Re:FW:O que sempre quisemos... :). v - Re:FW:Parce qu'il vaut, le voir - Re:FW:Pois vale. v - Re:FW:Preis!:D, um es zu sehen - Re:FW:Premio! :D, vederlo - Re:FW:Premio!!!! :D, miralo - Re:FW:Prix! :D, pour le voir - Re:FW:Prize! :D, to see it - Re:FW:Prumio!!!! :D, v - Re:FW:Pues vale. miralo - Re:FW:Scherzo migliore dell'anno:), per vederlo - Re:FW:Sussidio per favore! :), per vederlo - Re:FW:The worse thing of the year, to see it - Re:FW:There is no life without death... :(, to see it - Re:FW:Was wir immer ... wollten:), um es zu sehen - Re:FW:Weil das wert ist, es zu sehen - Re:FW:What we always wanted...:), to see it Texto del mensaje: [uno de los siguientes] Kaspersky-Antivirus. Kein Virus Gefundenes State:Ok Symantec-Antivirus. Noo Vyrus. State:Ok Symantec-Antivirus. Nessun Virus Found. State:Ok Kaspersky-Antivirus. No Virus Found. State:Ok F-Secure-Antivirus. Aucun Virus Constat State:Ok Panda ActiveScan-Antivirus. No se encontraron virus. Estado:Ok Datos adjuntos: [uno de los siguientes] a.zip anedota2004.zip Bilge2004.zip Bonheur.zip ck.zip chiste2004.zip Daswarniewie das.zip Eskannnichtsein.zip essere.zip explodecarros.zip Exploitedesvoitures.zip exploitscars.zip felicidad.zip felicidade.zip Felicit Foto2004.zip foto2004.zip Happiness.zip Heiligtum.zip hrt.zip Ichhabeesber Ihavetouched it.zip Ilnepeutpas Itcannotbe.zip Itwasneverlikethat.zip jamasfueasi.zip Jel'aitouch Joke2004.zip Kielraum2004.zip L'hotoccato.zip mehatocado.zip metocou.zip noneramaicomeci Nonpu nopuedeser.zip nuncafoiassim.zip opodeser.zip Peggiore2004.zip pegote2004.zip peor2004.zip photo2004.zip Photo2004.zip pior2004.zip Plaisanterie2004.zip Plusmauvais2004.zip rebientacoches.zip Renflement2004.zip rio.zip Sanctuaire.zip Sanctuary.zip santu Santuario.zip santuario.zip Scherzo2004.zip Schlechter2004.zip stupido2004.zip taitjamaiscomme tatAutos.zip tonto2004.zip tre.zip utilizzadelleautomobili.zip Witz2004.zip Worse2004.zip Cuando el contenido del adjunto es ejecutado (doble clic), el gusano se copia varias veces, todas con nombres al azar, en las siguientes carpetas del sistema: \TEMP\ c:\windows\Fonts c:\windows\system c:\windows\system32 c:\windows\Tasks También crea una copia comprimida (.ZIP) de si mismo con el nombre de B6.LOG en la siguiente ubicación: \TEMP\b6.log Crea la siguiente copia de si mismo en formato Base64: c:\windows\codm Para asegurarse de autoejecución en cada reinicio de Windows, crea las siguientes entradas en el registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\Temp\[nombre].exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\Tasks\[nombre].exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\Fonts\[nombre].exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\System\[nombre].exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run ????? = "c:\windows\System32\[nombre].exe" Donde "?????" son caracteres al azar, y el [nombre] del gusano es uno de los archivos creados antes también con nombres al azar. Para propagarse por correo electrónico se envía a si mismo en mensajes como el ya descrito, a las direcciones encontradas en archivos con las siguientes extensiones del equipo infectado: .adb .ade .asp .avi .bak .bas .bat .bin .bmp .cfg .cgi .cls .cmd .com .css .csv .ctl .ctt .dat .dbx .dhtm .doc .eml .fdb .frm .htm .html .ihm .imb .img .inf .ini .iso .jpg .js .jsp .log .logs .lst .mda .mdb .mdw .mdx .mp3 .mpg .msg .msi .nch .nfo .nrg .nws .oft .pdf .php .pif .pl .pmr .ppt .rar .rft .rpt .rtf .scr .sfc .sht .shtm .swf .tbb .txt .uni .url .vap .vbs .vcf .wab .wma .wsh .xls .xml .zip Cuando detecta una conexión a Internet, abre el navegador para intentar mostrar las siguientes imágenes: http://www.por???rone.com/ad2_03/images/pc0132hb026.jpg http://www.por???rone.com/ad2_03/images/pc0132hb072.jpg http://www.por???rone.com/ad2_03/images/pc0132hb098.jpg * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales de Windows 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1643 Año 9, miércoles 5 de enero de 2005