| Asunto: | VSantivirus No. 1672 Año 9, jueves 3 de febrero de 2005 | | Fecha: | Jueves, 3 de Febrero, 2005 07:15:03 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1672 Año 9, jueves 3 de febrero de 2005
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Pirata informático vendía contraseñas de Hotmail
2 - W32/Bropia.E. Se propaga por MSN Messenger
3 - W32/Bobax.M. Puede ser usado para el envío de spam
4 - W32/Bobax.L. Puede ser usado para el envío de spam
5 - SymbOS/Lasco.A. Gusano de teléfonos móviles
_____________________________________________________________
1 - Pirata informático vendía contraseñas de Hotmail
_____________________________________________________________
http://www.vsantivirus.com/03-02-05.htm
Pirata informático vendía contraseñas de Hotmail
Por Angela Ruiz
angela@videosoft.net.uy
Un joven español de 23 años, identificado como Daniel C. E.,
fue detenido este martes en España, acusado de la venta de
contraseñas de cuentas de correo electrónico de Hotmail.
El pirata, utilizaba una página en Internet (aún activa), para
brindar lo que él llamaba, un "Servicio de Contraseñas".
Según todavía se puede leer en su página, el joven ofrecía de
forma directa "un servicio con el cual podrá averiguar el
password de cualquier cuenta de Hotmail."
"Le garantizamos que trataremos su caso con la máxima
discreción posible.", dice el texto de presentación. El costo
era de 30 euros. "No siempre conseguimos averiguar el
password. El 75% de los casos conseguimos la clave pero no
podemos garantizarle que lo lograremos."
Además, el pirata garantizaba "que el dueño de la casilla de
correo nunca se dará cuenta de que le hemos averiguado el
password, y mucho menos relacionarlo con UD."
El clásico "no nos hacemos responsables del uso fraudulento
del password. Cualquier acción ilegal realizada con la
información que nosotros le facilitamos será de su
responsabilidad.", no salvó al joven de la justicia, quien fue
arrestado por agentes del Grupo de Delitos Tecnológicos de
Barcelona del Cuerpo Nacional de Policía en la propia empresa
de informática en la que trabajaba.
Fueron registrados al menos dos domicilios relacionados con el
detenido, en Huesca y Lleida, y se incautó todo el material
informático allí encontrado.
La policía denominó "Hackwebmail" a esta operación, la que
fue iniciada en abril del año pasado. La información brindada,
habla de más de 400 contraseñas ofrecidas exitosamente a
"clientes" de España y de otras partes del mundo.
En el sitio, que aunque tiene un dominio .TK está hospedado en
Lycos Tripod, puede leerse lo siguiente:
Total Clientes: 974
Total pedidos: 136
Pedidos cumplidos: 67
Visitas: 48031
Sin embargo, el joven ha estado haciendo este trabajo desde
por lo menos tres años atrás. El arrestado ofrecía sus
servicios en conocidos foros de Internet, poniendo como
contacto su página web.
La forma de capturar las contraseñas de los usuarios de
Hotmail, siempre fue mediante el engaño, suplantando la
personalidad de un sitio o persona, técnica denominada
"phishing".
Una vez que el cliente le pedía una contraseña, el pirata
enviaba a la víctima un mensaje del tipo "un amigo le envía
una tarjeta". Si la víctima caía en el engaño, era llevada a
una página falsa de MSN Messenger, en donde se le pedía nombre
de usuario y contraseña. Esta era la forma más "fácil" de
conseguir su objetivo.
Si esta técnica fallaba, aún quedaban otras, como las de
enviar otros falsos mensajes que simulaban ser del propio
Hotmail, solicitando "acceder a una dirección de Hotmail para
comprobar usuario y contraseña", con excusas como las de
"proteger a nuestros usuarios del correo electrónico no
solicitado".
Por supuesto, al hacer clic en el enlace mencionado, se
enviaba al usuario a una página falsa, donde usuario y
contraseña eran capturados por el delincuente.
De todos modos, esto no es nada nuevo. Existen muchas técnicas
similares, utilizadas incluso con otros cometidos (obtener
cuentas de otros servicios de correo, o incluso información de
cuentas bancarias o tarjetas de crédito, por ejemplo).
En ningún momento se explotaron fallos del sistema, solo se
empleó una simple y directa "ingeniería social", para engañar
a usuarios incautos. Relacionado también con Hotmail, en 2003
el FBI detuvo en Estados Unidos a otro individuo por un caso
muy similar.
Microsoft, a quien pertenece Hotmail, dijo que ha estado
colaborando con las autoridades desde el comienzo de la
operación, e informó que no se usaron ataques ni existen
fallos de seguridad en Hotmail, solo se emplearon las técnicas
de engaño mencionadas, y se abusó de la inocencia de usuarios
incautos.
La empresa recomienda "no facilitar nunca las contraseñas en
sitios no oficiales". Existen más de 187 millones de usuarios
con cuentas de correo en Hotmail, al menos 7 de ellos en
España. En http://www.msn.es/informatica/antispam/prevencion/,
se dan algunos consejos para el manejo de las cuentas de
Hotmail, y para no caer en algunas de estas trampas.
Aunque en las últimas horas el joven fue dejado "en libertad
con cargos", y deberá presentarse a la justicia cada 15 días,
las investigaciones continúan, y no se descarta que se tomen
acciones contra quienes pagaron por obtener las contraseñas de
terceros, acusados de participar en un presunto delito de
descubrimiento y revelación de secretos. Entre ellos, se
encuentran varios detectives privados, según informan las
fuentes.
En todos los casos, las penas estipuladas, van de cuatro a
siete años de prisión para todos los inculpados.
Si usted recibió en algún momento una tarjeta electrónica, o
un mensaje no solicitado, donde para comprobar su identidad se
le pedía ingresar a un sitio web similar al de Hotmail o MSN,
es conveniente que cambie a la brevedad posible su contraseña.
Y por supuesto, jamás debería seguir enlaces a sitios en donde
se le pida ingresar datos personales de este tipo, y mucho
menos cuando se le "invita" a hacerlo desde un correo
electrónico no solicitado.
* Relacionados:
HOAXES
http://www.vsantivirus.com/hoaxes.htm
Clientes de Visa Internacional víctimas de "phishing"
http://www.vsantivirus.com/ev-phishing-visa.htm
Phishing: Yahoo "E-mail account security warning"
http://www.vsantivirus.com/ph-yahoo-250904.htm
Peligro de phishing con cuentas de Gmail
http://www.vsantivirus.com/14-09-04.htm
La suplantación de sitios y robo de identidades
http://www.vsantivirus.com/agr-phishing.htm
Phishing: Usuarios de Gmail en peligro de engaño
http://www.vsantivirus.com/ph-gmail-160105.htm
"Phishing" con favicon en Opera 7.50 y anteriores
http://www.vsantivirus.com/vul-opera-favicons.htm
Internet, entre el miedo y la prudencia
http://www.vsantivirus.com/07-11-04.htm
Ataques de phishing usando vulnerabilidad JPEG
http://www.vsantivirus.com/ev-04-10-04.htm
Su cuenta bancaria a merced de un estafador
http://www.vsantivirus.com/31-05-04.htm
Aumento de spam, phishing y gusanos en Navidad
http://www.vsantivirus.com/21-11-04.htm
Ataque phishing a usuarios de Linux circula en la red
http://www.vsantivirus.com/22-11-04.htm
Los 10 scams más peligrosos para el 2005
http://www.vsantivirus.com/scams-2005.htm
El navegador Firefox facilita técnicas de phishing
http://www.vsantivirus.com/vul-firefox-xul.htm
Estafa a clientes del Banco de Crédito de Perú (BCP)
http://www.vsantivirus.com/scam-bcp.htm
Bruce Schneier: "la gente es demasiado paranoica"
http://www.vsantivirus.com/mm-bruce-schneier.htm
Scam: Timo a clientes de Caja Madrid (España)
http://www.vsantivirus.com/scam-cajamadrid.htm
Intento de estafa a clientes de Banesto
http://www.vsantivirus.com/scam-banesto.htm
Scam: Nuevo intento de estafa a usuarios de PayPal
http://www.vsantivirus.com/scam-paypal2.htm
Timo a clientes del Grupo Banco Popular de España
http://www.vsantivirus.com/scam-grupobanco.htm
Scam: Intento de estafa a usuarios de PayPal
http://www.vsantivirus.com/scam-paypal.htm
Scam: Timo a clientes del Banco Pastor (España)
http://www.vsantivirus.com/scam-bancopastor.htm
Scam: Otro timo a clientes del Grupo Banco Popular
http://www.vsantivirus.com/scam-grupobanco3.htm
Nuevo timo a clientes del Grupo Banco Popular
http://www.vsantivirus.com/scam-grupobanco2.htm
Nueva falsificación de barra de direcciones en IE
http://www.vsantivirus.com/vul-ie-spoofing-direcciones.htm
IE: Ofuscación de URI en panel de búsqueda
http://www.vsantivirus.com/vul-ie-uri-111204.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Bropia.E. Se propaga por MSN Messenger
_____________________________________________________________
http://www.vsantivirus.com/bropia-e.htm
Nombre: W32/Bropia.E
Tipo: Gusano de Internet
Alias: Bropia.E, IM-Worm.Win32.Exir.a, W32.Bropia.E,
W32.Bropia.J, W32/Bropia.worm.g, Win32.Bropia.E,
Win32.Rbot.BOM, WORM_BROPIA.F
Fecha: 3/feb/05
Plataforma: Windows 32-bit
Tamaño: 188,928 bytes
Gusano detectado el 3 de febrero de 2005, que se propaga por
el MSN Messenger de Microsoft, además de descargar e instalar
una variante de la familia de los BOT.
También puede propagarse a través del Windows Messenger.
Cuando se ejecuta, muestra la imagen de un pollo en una
fuente, con las marcas de unas bikinis:
[ver imagen: http://www.vsantivirus.com/bropia-e.htm]
Dicha imagen es almacenada en el siguiente archivo:
c:\sexy.jpg
El gusano examina si alguno de los siguientes archivos está
presente en el sistema:
c:\windows\system32\winhost.exe
c:\windows\system32\winis.exe
c:\windows\system32\dnsserv.exe
Si ninguno de ellos está presente, crea el siguiente archivo y
lo ejecuta. Este archivo es una variante de un troyano de la
familia de los BOT (Spyboy, Agobot, Rbot, etc.):
c:\cz.exe
Si crea el archivo CZ.EXE, también se copia con el siguiente
nombre en la carpeta del sistema de Windows, y borra la copia
original (CZ.EXE) en el raíz del C:
c:\windows\system32\winhost.exe
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32"
pueden variar de acuerdo al sistema operativo instalado
("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
El troyano BOT crea las siguientes entradas en el registro,
para autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\OLE
win32 = "winhost.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
win32 = "winhost.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
win32 = "winhost.exe"
Note que el propio gusano (el recibido vía MSN) no tiene
mecanismos de autoejecución. Solo se propaga a otros usuarios
(contactos) del MSN Messenger y Windows Messenger. El que se
autoejecuta en cada reinicio es el troyano que es liberado por
el gusano si se dan las condiciones mencionadas antes.
Si el troyano BOT no es creado, tampoco se crearán las claves
mencionadas del registro.
El gusano propiamente dicho, se copia a si mismo en el raíz
del disco C:\ y en la carpeta del sistema de Windows
(C:\WINDOWS\SYSTEM32), con alguno de los siguientes nombres:
LOL.scr
Webcam.pif
bedroom-thongs.pif
naked_drunk.pif
LMAO.pif
ROFL.pif
underware.pif
Hot.pif
new_webcam.pif
También crea la siguiente copia de si mismo:
c:\windows\system32\msnus.exe
Para propagarse, se envía a si mismo a través del MSN
Messenger, a todos los contactos que estén en línea en ese
momento. Por lo tanto, el mecanismo que utiliza requiere que
el usuario tenga una sesión abierta del Messenger para que
ello ocurra.
De todos modos, para que la infección se produzca, el usuario
que recibe el archivo, debe aceptarlo y luego ejecutarlo (por
regla general no deben aceptarse archivos no solicitados, sin
importar su procedencia).
El gusano intenta deshabilitar el botón derecho del ratón, la
combinación de teclas CTRL+ALT+SUPR y los archivos CMD.EXE
(Procesador de comandos de Windows) y TASKMGR.EXE
(Administrador de tareas de Windows), los que intenta
sobrescribir.
También modifica el volumen de sonido de Windows al mínimo.
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\OLE
3. Haga clic en la carpeta "OLE" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
win32 = "winhost.exe"
4. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
win32 = "winhost.exe"
6. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la siguiente
entrada:
win32 = "winhost.exe"
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Bobax.M. Puede ser usado para el envío de spam
_____________________________________________________________
http://www.vsantivirus.com/bobax-m.htm
Nombre: W32/Bobax.M
Nombre NOD32: Win32/Bobax.M
Tipo: Gusano de Internet y caballo de Troya
Alias: Bobax.M, Win32/Bobax.M, Exploit-DcomRpc.gen,
W32/Dodobot.worm.dr, Win32.Proxed,
BehavesLike:Win32.ExplorerHijack
Fecha: 2/feb/05
Plataforma: Windows 32-bit
Tamaño: 28 KB aprox.
Puertos: TCP 445 y 5000
Gusano y caballo de Troya que instala un proxy en el equipo
infectado. Utiliza la vulnerabilidad en LSASS.EXE de Windows
XP y 2000 para propagarse. Cuando se ejecuta, no es visible en
la lista de procesos.
Una vez instalado en el equipo infectado, puede ser controlado
en forma remota, y utilizado como servidor proxy para lanzar
programas o datos, por ejemplo spam (correo no deseado).
El gusano examina direcciones IP al azar, intentando
conectarse al puerto TCP/5000. Utiliza este puerto para
identificar el sistema y buscar máquinas ejecutando Windows
XP, no se aprovecha de ninguna vulnerabilidad relacionada con
este puerto (Universal Plug and Play).
Luego, comprueba si estas computadoras son vulnerables. Son
afectadas todas aquellas que no tengan instalado el parche
correspondiente.
Utiliza comandos HTTP enviados al puerto TCP/445 para
descargar el gusano propiamente dicho de un servidor web
instalado por el propio gusano en la máquina actualmente
infectada, que permanece escuchando en un puerto aleatorio.
Los datos son descargados en un archivo "dropper" con nombre
al azar. Este archivo libera el cuerpo principal del gusano
(un .DLL) en el directorio TEMP de Windows con un nombre
también al azar y la extensión .TMP.
El gusano se ejecuta y borra entonces todos los archivos que
comiencen con el carácter "~" de la carpeta TEMP. Luego se
inyecta en un proceso del Explorer con una técnica llamada DLL
Injection. Debido a que el gusano se ejecuta como un hilo de
ejecución del propio Explorer, el mismo no es visible como un
proceso separado. En ocasiones el Explorer puede cerrarse con
un error y posible cuelgue del sistema.
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
El gusano abre un puerto al azar en el equipo infectado, y
queda esperando una conexión. Este puerto simula ser un
servidor SMTP (Simple Mail Transfer Protocol), que puede ser
usado por un usuario remoto para el envío de correo
electrónico entre otras funciones.
Para implementar esto, primero descarga diferentes archivos de
diferentes sitios de Internet para medir la velocidad de
conexión, y de acuerdo a los resultados intenta conectarse a
un servidor web remoto utilizando un único identificador para
notificar la infección. La respuesta recibida contiene los
comandos que activan ciertas características, entre ellas:
- Descargar y ejecutar archivos
- Detener y reiniciar el proceso de escaneo de direcciones
- Enviar la información del sistema infectado
- Envío de correo spam
Crea las siguientes entradas en el registro para
autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar 1] = c:\windows\system\[nombre al azar
2].exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
[nombre al azar 1] = c:\windows\system\[nombre al azar
2].exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows 9x
y ME, como "c:\winnt\system32" en Windows NT y 2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
También modifica el archivo HOSTS para que los siguientes
sitios no puedan ser accedidos desde una máquina infectada:
255 .255 .255 .255
ar .atwola .com
atdmt .com
avp .com
avp .ch
avp .ru
awaps .net
ca .com
dispatch .mcafee .com
download .mcafee .com
download .microsoft .com
downloads .microsoft .com
engine .awaps .net
f-secure .com
ftp .f-secure .com
ftp .sophos .com
go .microsoft .com
liveupdate .symantec .com
mast .mcafee .com
mcafee .com
msdn .microsoft .com
my-etrust .com
nai .com
networkassociates .com
office .microsoft .com
phx .corporate-ir .net
secure .nai .com
securityresponse .symantec .com
service1 .symantec .com
sophos .com
spd .atdmt .com
support .microsoft .com
symantec .com
update .symantec .com
updates .symantec .com
us .mcafee .com
vil .nai .com
viruslist .ru
windowsupdate .microsoft .com
www .avp .com
www .avp .ch
www .avp .ru
www .awaps .net
www .ca .com
www .f-secure .com
www .kaspersky .ru
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
www .viruslist .ru
www3 .ca .com
* Reparación manual
* IMPORTANTE:
Descargue y ejecute este parche antes de proceder al resto de
la limpieza, desde el siguiente enlace:
MS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htm
* Cortafuegos
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Bobax.L. Puede ser usado para el envío de spam
_____________________________________________________________
http://www.vsantivirus.com/bobax-l.htm
Nombre: W32/Bobax.L
Nombre NOD32: Win32/Bobax.L
Tipo: Gusano de Internet y caballo de Troya
Alias: Bobax.L, Win32/Bobax.L, Exploit-DcomRpc.gen,
W32/Dodobot.worm.dr, Win32.Proxed,
BehavesLike:Win32.ExplorerHijack, Trojan-Proxy.Win32.Bobax.l,
W32/Bobax-F, Win32.Bobax.M, WORM_BOBAX.I
Fecha: 2/feb/05
Plataforma: Windows 32-bit
Tamaño: 29,184 bytes
Puertos: TCP 445 y 5000
Gusano y caballo de Troya que instala un proxy en el equipo
infectado. Utiliza la vulnerabilidad en LSASS.EXE de Windows
XP y 2000 para propagarse. Cuando se ejecuta, no es visible en
la lista de procesos.
Una vez instalado en el equipo infectado, puede ser controlado
en forma remota, y utilizado como servidor proxy para lanzar
programas o datos, por ejemplo spam (correo no deseado).
El gusano examina direcciones IP al azar, intentando
conectarse al puerto TCP/5000. Utiliza este puerto para
identificar el sistema y buscar máquinas ejecutando Windows
XP, no se aprovecha de ninguna vulnerabilidad relacionada con
este puerto (Universal Plug and Play).
Luego, comprueba si estas computadoras son vulnerables. Son
afectadas todas aquellas que no tengan instalado el parche
correspondiente.
Utiliza comandos HTTP enviados al puerto TCP/445 para
descargar el gusano propiamente dicho de un servidor web
instalado por el propio gusano en la máquina actualmente
infectada, que permanece escuchando en un puerto aleatorio.
Los datos son descargados en un archivo "dropper" con nombre
al azar. Este archivo libera el cuerpo principal del gusano
(un .DLL) en el directorio TEMP de Windows con un nombre
también al azar y la extensión .TMP.
El gusano se ejecuta y borra entonces todos los archivos que
comiencen con el carácter "~" de la carpeta TEMP. Luego se
inyecta en un proceso del Explorer con una técnica llamada DLL
Injection. Debido a que el gusano se ejecuta como un hilo de
ejecución del propio Explorer, el mismo no es visible como un
proceso separado. En ocasiones el Explorer puede cerrarse con
un error y posible cuelgue del sistema.
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
El gusano abre un puerto al azar en el equipo infectado, y
queda esperando una conexión. Este puerto simula ser un
servidor SMTP (Simple Mail Transfer Protocol), que puede ser
usado por un usuario remoto para el envío de correo
electrónico entre otras funciones.
Para implementar esto, primero descarga diferentes archivos de
diferentes sitios de Internet para medir la velocidad de
conexión, y de acuerdo a los resultados intenta conectarse a
un servidor web remoto utilizando un único identificador para
notificar la infección. La respuesta recibida contiene los
comandos que activan ciertas características, entre ellas:
- Descargar y ejecutar archivos
- Detener y reiniciar el proceso de escaneo de direcciones
- Enviar la información del sistema infectado
- Envío de correo spam
Crea las siguientes entradas en el registro para
autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar 1] = c:\windows\system\[nombre al azar
2].exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
[nombre al azar 1] = c:\windows\system\[nombre al azar
2].exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows 9x
y ME, como "c:\winnt\system32" en Windows NT y 2000 y
"c:\windows\system32" en Windows XP y Windows Server 2003).
También modifica el archivo HOSTS para que los siguientes
sitios no puedan ser accedidos desde una máquina infectada:
255 .255 .255 .255
ar .atwola .com
atdmt .com
avp .com
avp .ch
avp .ru
awaps .net
ca .com
dispatch .mcafee .com
download .mcafee .com
download .microsoft .com
downloads .microsoft .com
engine .awaps .net
f-secure .com
ftp .f-secure .com
ftp .sophos .com
go .microsoft .com
liveupdate .symantec .com
mast .mcafee .com
mcafee .com
msdn .microsoft .com
my-etrust .com
nai .com
networkassociates .com
office .microsoft .com
phx .corporate-ir .net
secure .nai .com
securityresponse .symantec .com
service1 .symantec .com
sophos .com
spd .atdmt .com
support .microsoft .com
symantec .com
update .symantec .com
updates .symantec .com
us .mcafee .com
vil .nai .com
viruslist .ru
windowsupdate .microsoft .com
www .avp .com
www .avp .ch
www .avp .ru
www .awaps .net
www .ca .com
www .f-secure .com
www .kaspersky .ru
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .com
www .viruslist .ru
www3 .ca .com
* Reparación manual
* IMPORTANTE:
Descargue y ejecute este parche antes de proceder al resto de
la limpieza, desde el siguiente enlace:
MS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htm
* Cortafuegos
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - SymbOS/Lasco.A. Gusano de teléfonos móviles
_____________________________________________________________
http://www.vsantivirus.com/symbos-lasco-a.htm
Nombre: SymbOS/Lasco.A
Nombre NOD32: SymbOS/Lasco.A
Tipo: Gusano
Alias: Lasco.A, Cabir.H, Caribe virus, EPOC/Cabir.H,
SymbOS.Cabir, SymbOS.Lasco.A, SymbOS/Cabir.A, SymbOS/Cabir.H,
SymbOS/Lasco.A, SYMBOS_VLASCO.B, Worm.Symbian.Cabir.H,
Worm.SymbOS.Cabir.gen, Worm.SymbOS.Lasco.a,
Worm/SymbOS.Cabir.f, SYMBOS_VLASCO.A, SymbOS/Lasco.A.worm,
PE_VLASCO.A
Fecha: 10/ene/05
Plataforma: SymbOS (EPOC), Nokia Series 60
Tamaño: 14,226 bytes
Última modificación: 3/feb/05
Gusano similar a Cabir.H, capaz de propagarse por servicios
Bluetooth, en dispositivos que utilicen el sistema operativo
Symbian.
Cuando se ejecuta como aplicación para plataformas Windows 32-
bit, el gusano busca archivos .SIS en todos los discos del
sistema, e intenta infectarlos, insertando su código.
El gusano no posee ninguna otra carga destructiva (salvo el
gasto de baterías por el constante uso que hace del equipo).
Bluetooth es una norma abierta que posibilita la conexión
inalámbrica de corto alcance de voz y datos entre computadoras
de escritorio y portátiles, agendas digitales personales,
teléfonos móviles, impresoras, escáneres, cámaras digitales e
incluso dispositivos domésticos, a través de una banda
disponible a nivel global (2,4 Ghz) y mundialmente compatible.
Los síntomas de una infección son una actividad frecuente
(cada 15 o 20 segundos), originada desde un móvil infectado
por el gusano.
Algunos de los teléfonos móviles afectados:
Nokia 3650, 3600
Nokia 3660, 3620
Nokia 6600
Nokia 6620
Nokia 7610
Nokia 7650
Nokia N-Gage
Panasonic X700
Sendo X
Siemens SX1
Afecta productos de la Serie 60 v0.9, lo que abarca todos los
dispositivos existentes de la serie 60, que usen Symbian OS
6.1 o superior.
Cuando se ejecuta bajo Symbian, inicia la búsqueda de otros
dispositivos conectados que usen la tecnología "Bluetooth".
Si localiza alguno, se enviará a si mismo al primer
dispositivo que encuentre.
Aunque también puede copiarse en dispositivos que empleen la
tecnología Bluetooth, pero con otro sistema operativo, el
gusano no se propagará desde dicho dispositivo.
El gusano llega al dispositivo como un archivo .SIS
(velasco.sis), y se instala en la carpeta APPS (aplicaciones),
si el usuario acepta la transferencia y ejecuta la
instalación. La extensión .SIS es utilizada por el sistema
operativo EPOC para las instalaciones.
El gusano consiste en los siguientes componentes:
VELASCO.SIS (15,750 bytes), contiene el código del virus
propiamente ducho.
SISINFECT.EXE (69,632 bytes), es el infector que se ejecuta en
Windows. Este archivo escanea todos los discos duros en busca
de archivos .SIS y los infecta insertando su código.
MARCOS.SIS (1,579 bytes), contiene el módulo MARCO.MDL con el
cuál instala VELASCO.SIS en el sistema de autoejecución de
Symbian.
Al instalarse VELASCO.SIS, se copian los siguientes archivos:
c:\system\apps\velasco\marcos.mdl
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\velasco.rsc
El archivo VELASCO.SIS contiene instrucciones para ejecutar
automáticamente al archivo del gusano (VELASCO.APP).
Cuando VELASCO.APP se ejecuta, se crean los siguientes
archivos:
c:\system\symbiansecuredata\velasco\velasco.app
c:\system\symbiansecuredata\velasco\velasco.rsc
c:\system\symbiansecuredata\velasco\velasco.sis
El archivo de autoejecución, se copia en la siguiente
ubicación:
c:\system\recogs\marcos.mdl
El gusano busca todos los archivos ".SIS" en el dispositivo y
se agrega a ellos modificando el encabezado de los archivos
encontrados, esto hace que cada vez que un archivo ".SIS" es
ejecutado el gusano inicie su rutina de propagación y repita
todo el proceso antes mencionado.
El gusano no puede catalogarse de un serio riesgo, por varias
razones:
1. Una comunicación "Bluetooth" no está habilitada por
defecto.
2. El rango de transmisión es corto en distancia, por la
propia naturaleza del sistema "Bluetooth".
3. "Bluetooth" utiliza un mecanismo de comunicación entre
pares. Dispositivos fuera de ese par, requieren un PIN para
confirmar el acceso.
4. Aceptar una transmisión "Bluetooth", requiere una
confirmación manual.
* Eliminación manual
Para eliminar este gusano, utilice algún administrador de
archivos (debe tener habilitada la opción de ver los archivos
en el directorio del sistema).
NOTA: El gusano puede suplantar el administrador de archivos
original. Se sugiere descargar el "PC File Manager"
correspondiente a su teléfono móvil desde el siguiente enlace:
http://www.epocware.com/company/productmap.html
Luego, siga estos pasos:
1. Seleccione la opción "velasco" de la lista de aplicaciones.
2. Seleccione "Cancel" (Exit velasco?) y confirme con "Yes".
3. Borre el siguiente archivo utilizando el manejador de
archivos o por medio del "PC File Manager" descargado antes:
c:\system\recogs\marcos.mdl
4 Borre la carpeta "velasco" de las siguientes ubicaciones:
c:\system\apps\velasco\
c:\system\symbiansecuredata\velasco\
Aunque el sistema por defecto se instala en la unidad C, esto
puede cambiar en algunos casos.
Si no puede borrar estos archivos, apague y vuelva a encender
su dispositivo.
* Publicado anteriormente:
VSantivirus No. 1655 Año 9, lunes 17 de enero de 2005
* Actualizaciones:
03/02/05 - 02:54 -0200 (Modificación de la descripción)
03/02/05 - 03:10 -0200 (Alias: SYMBOS_VLASCO.A)
03/02/05 - 03:10 -0200 (Alias: SymbOS/Lasco.A.worm)
03/02/05 - 03:10 -0200 (Alias: PE_VLASCO.A)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados, simplemente
ejecutamos esos antivirus en su opción de escaneo, sobre la
carpeta que contenga los archivos a revisar). Y por supuesto,
de nada vale usar algún antivirus si no lo mantenemos
actualizado con los upgrades, updates o add-ons
correspondientes. Actualmente, las actualizaciones de la
mayoría de los fabricantes son diarias. No existen los "virus
demasiados nuevos y sin antídotos", la reacción de las casas
de antivirus es inmediata en todos los casos. Pero mejor
pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga referencias
de seriedad, o que no sean medianamente conocidos. Y si se
bajan archivos, proceder como los archivos adjuntos. Copiarlos
a una carpeta y revisarlos con dos o tres antivirus
actualizados antes de optar por ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos el
permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo a
la política de Copyright adoptada por cada uno de ellos, y su
inclusión en nuestro boletín se rige por dichas políticas, sin
embargo, para su uso en otro medio, se deberá solicitar la
debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.videosoft.net.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 1672 Año 9, jueves 3 de febrero de 2005
|
VSantivirus No. 16
Responder a este mensaje
