vsantivirus.com - Mis eListas: vsantivirus: Mensajes

Inicio > Mis eListas > vsantivirus > Mensajes

Mensajes 719 al 738

Asunto	Autor
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi
VSantivirus No. 16	VSAntivi

<< 20 ant. | 20 sig. >>

VSAntivirus

Página principal

Mostrando mensaje 735 < Anterior | Siguiente >

Responder a este mensaje

Asunto: VSantivirus No. 1686 Año 9, jueves 17 de febrero de 2005
Fecha: Jueves, 17 de Febrero, 2005 07:47:07 (-0200)
Autor: VSAntivirus.com <vsantivirus @...........com>

VSantivirus No. 1686 Año 9, jueves 17 de febrero de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - W32/Mydoom.AW. Gusano de gran propagación 2 - Troj/Spy.Banker.JV. Elimina al MS Windows AntiSpyware 3 - Troj/Down.Small.AIN. Descarga y ejecuta Spy.Banker 4 - W32/Aimdes.C. Falso mensaje enviado por Symantec 5 - W32/Aimdes.B. Se propaga por AOL Instant Messenger 6 - W32/Aimdes.B1. Se propaga por AOL Instant Messenger _____________________________________________________________ 1 - W32/Mydoom.AW. Gusano de gran propagación _____________________________________________________________ http://www.vsantivirus.com/mydoom-aw.htm Nombre: W32/Mydoom.AW Nombre NOD32: Win32/Mydoom.AW Tipo: Gusano de Internet Alias: Mydoom.AW, Email-Worm.Win32.Mydoom.m, Mydoom.AU, MyDoom.BB, MyDoom.M, Mydoom.M@MM, W32.Mydoom.AX@mm, W32/Downloader, W32/Mydoom.AY@mm, W32/Mydoom.bb@MM, W32/Mydoom.o@MM, W32/MyDoom-O, Win32.Mydoom.AU, Win32/Mydoom.AU!Worm, Win32/Mydoom.AW, WORM_MYDOOM.BB, WORM_MYDOOM.M Fecha: 16/feb/05 Plataforma: Windows 32-bit Tamaños: 25,771 bytes (MEW) Variante de este gusano escrito en Visual C++, que se propaga por correo electrónico. Utiliza su propio motor SMTP. Fue reportado el 16 de febrero de 2005 y considerado como de gran propagación por los principales fabricantes de antivirus (similar al Mydoom.R, pero comprimido con la herramienta MEW). Descarga un componente backdoor que actúa como un servidor que permite a un usuario remoto ejecutar ciertas acciones en los equipos infectados. Este componente es identificado como Zincite.A por algunos antivirus. Más información: Back/Zincite.A. Servidor de puerta trasera http://www.vsantivirus.com/back-zincite-a.htm Puede llegar en un mensaje con las siguientes características: Asunto: [uno de los siguientes] - click me baby, one more time - delivery failed - Delivery reports about your e-mail - error - hello - hi error - Mail System Error - Returned Mail - Message could not be delivered - report - Returned mail: Data format error - Returned mail: see transcript for details - say helo to my litl friend - status - test - The original message was included as attachment - The/Your m/Message could not be delivered Texto del mensaje: El texto del mensaje es creado con varios componentes seleccionados al azar por el gusano. Los siguientes son solo ejemplos que pueden variar en la construcción de algunas frases y la selección de diferentes palabras: Ejemplo 1: Dear user of [dominio], We have received reports that your account was used to send a large amount of unsolicited e-mail messages during the last week. Obviously, your computer had been compromised by a recent virus and now contains a trojaned proxy server. We recommend you to follow our instructions in the attachment file in order to keep your computer safe. Have a nice day, [dominio] support team. Ejemplo 2: The message was undeliverable due to the following reasons: Your message could not be delivered because the destination server was unreachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now. Ejemplo 3: Your message could not be delivered within [número al azar] days: Host [servidor] is not responding. The following recipients could not receive this message: <[dirección]> Please reply to postmaster@[dominio] if you feel this message to be in error. The original message was received at [hora] from [dominio] ----- The following addresses had permanent fatal errors ----- <[dirección]> ----- Transcript of session follows ----- ... while talking to host [dominio]: >>> MAIL From:[dirección] <<< 50$d Refused unknown 554 <[dirección]>... Mail quota exceeded 554 <[dirección]>... Service unavailable Session aborted, reason: lost connection <<< 550 MAILBOX NOT FOUND User unknown The original message was included as attachment Ejemplo 4: Your message could not be delivered Datos adjuntos: [nombre]+[extensión] Donde [extensión] es una de las siguientes: .bat .cmd .com .exe .pif .scr .zip Y [nombre] es una parte o toda la dirección de correo a la que se envía, o una de las siguientes palabras: attachment document file instruction letter mail message readme text transcript Ejemplos: Si la dirección es "maria@hotmail.com" el adjunto puede ser alguno de los siguientes: maria@hotmail.zip hotmail.com maria.scr También podría ser alguno de los siguientes: attachment.exe letter.scr transcript.com Los adjuntos con extensión .ZIP son archivos comprimidos y contienen un archivo con nombre al azar y a veces dos extensiones separadas por una gran cantidad de espacios. Cuando se ejecuta el gusano, se crean los siguientes archivos: c:\windows\java.exe c:\windows\services.exe El segundo, es el troyano "Zincite.A" mencionado antes. El gusano crea las siguientes entradas en el registro, las dos primeras para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run JavaVM = c:\windows\java.exe Services = c:\windows\services.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run JavaVM = c:\windows\java.exe Services = c:\windows\services.exe HKCU\Software\Microsoft\Daemon HKLM\SOFTWARE\Microsoft\Daemon Para propagarse, el gusano extrae direcciones de correo de archivos con las siguientes extensiones en el equipo infectado: .adb .asp .dbx .ht* .ph* .pl* .sht* .tbb .tx* .wab Esto incluye las bases de mensajes del Outlook y la libreta de direcciones. Adicionalmente, el gusano realiza consultas a máquinas de búsqueda en Internet, utilizando los nombres de dominios de las direcciones encontradas en las máquinas infectadas, y luego examina los resultados para extraer nuevas direcciones. El gusano utiliza las siguientes máquinas de búsqueda, en un porcentaje diferente en cada caso: www.google.com (lo usa un 45% de las veces) search.lycos.com (lo usa un 22.5%) search.yahoo.com (lo usa un 20%) www.altavista.com (lo usa un 12.5%) El gusano evita enviarse a aquellas direcciones que contengan alguno de los siguientes textos en su nombre: abuse accou admin anyone arin. avp bar. bugs domain example feste foo foo.com gmail gnu. gold-certs google help hotmail info listserv mailer-d master microsoft msdn. msn. nobody noone not nothing ntivi page panda privacycertific rarsoft rating ripe. sample sarc. seclist secur sf.net site soft someone sophos sourceforge spam spersk submit support syma the.bat trend update uslis winrar winzip yahoo you your Intenta copiarse en aquellas carpetas cuyos nombres contengan algunos de estos textos: userprofile yahoo.com * Reparación manual Estas instrucciones incluyen la limpieza del troyano Back/Zincite.A: Back/Zincite.A. Servidor de puerta trasera http://www.vsantivirus.com/back-zincite-a.htm * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar las carpetas compartidas de programas P2P Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema. Para ello, siga las instrucciones del siguiente artículo: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\java.exe c:\windows\services.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: JavaVM Services 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: JavaVM Services 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Daemon 7. Pinche en la carpeta "Daemon" y bórrela. 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Daemon 9. Pinche en la carpeta "Daemon" y bórrela. 10. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Troj/Spy.Banker.JV. Elimina al MS Windows AntiSpyware _____________________________________________________________ http://www.vsantivirus.com/troj-spy-banker-jv.htm Nombre: Troj/Spy.Banker.JV Nombre NOD32: Win32/Spy.Banker.JV Alias: Banker.JV, Spy.Banker.JV, Trojan-Spy.Win32.Banker.jv, Trojan.PWS.EBank, Troj/BankAsh-A, TrojanSpy:Win32/Banker.JV.dll, TROJ_SPYBANK.A, TR/Spy.Banker.AU, PSW.Banker.14.H, Trojan.PWS.Bancos.T, Trj/Banker.CB, Win32/Spy.Banker.JV Relacionados: Troj/Down.Small.AIN Fecha: 9/feb/05 Plataforma: Windows 32-bit Tamaño: 163,840 bytes Caballo de Troya residente en memoria, que normalmente es liberado por otro troyano en el sistema. En este caso, el troyano "Small.AIN" lo libera en el directorio del sistema con el siguiente nombre: c:\windows\system32\ASH.DLL También puede ser descargado por el propio usuario desde Internet, generalmente pensando se trata de una utilidad legítima. El troyano "Small.AIN" también registra al DLL de "Banker.JV" como un objeto BHO (Browser Helper Object). Un objeto BHO es un DLL que se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos predeterminados. Para ello, crea las siguientes entradas en el registro: HKCR\CLSID\{C6176B04-8896-4446-9939-E00EE94C420F} HKCR\AntiSpy.AntiSpy HKCR\AntiSpy.AntiSpy.1 El DLL se registra como una interfase llamada "IIEHlprObj" (Interface), y como un tipo de biblioteca llamada "AS 0.96 Type Library" (TypeLib): HKCR\Interface\{17A45F93-AEC8-440B-AC33-1BA9CC3192AC} HKCR\TypeLib\{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F} También modifica la página de inicio del Internet Explorer, creando las siguientes entradas: HKCU\Software\Microsoft\Internet Explorer\Main Start Page = about:blank HKLM\SOFTWARE\Microsoft\Internet Explorer\Main Start Page = about:blank El troyano intenta desregistrar y borrar el DLL llamado IEHELPER.DLL, perteneciente a Windows. Después de su ejecución, el troyano examina si el "Microsoft Windows AntiSpyware" está instalado en el sistema. Si lo encuentra, intenta finalizarlo y borrar todos los archivos relacionados con dicha aplicación. Para ello, finaliza los siguientes procesos: gcascleaner gcasdtserv gcasinstallhelper gcasnotice gcasserv gcasservalert gcasswupdater gciptohostqueue giantantispywaremain giantantispywareupdater "Microsoft Windows AntiSpyware" normalmente se instala en "C:\Archivos de programa\Microsoft Antispyware". Los archivos de dicha carpeta también son borrados por el troyano. También remueve la clave "GcasServ" del registro que "Microsoft Windows AntiSpyware" utiliza para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run GcasServ= "c:\archivos de programa\Microsoft AnttiSpyware\gcasServ.exe" El troyano intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado. Para ello monitorea las transacciones cuando éste ingresa a cualquiera de estos sitios de banca on-line (esto incluye bancos como Barclays, Cahoot, Halifax, HSBC, Lloyds TSB, Nationwide, NatWest, Smile, etc.): https:/ /ibank .barclays .co .uk https:/ /ibank .cahoot .com https:/ /olb2 .nationet .com https:/ /online .lloydstsb .co .uk https:/ /www .bankofscotlandhalifax-online .co .uk https:/ /www .ebank .hsbc .co .uk https:/ /www .ebank .hsbc .co .uk https:/ /www .millenniumbcp .pt https:/ /www .ukpersonal .hsbc .com Cuando ello ocurre, el troyano despliega una página HTML falsa, para engañar al usuario, que creyendo estar en el sitio verdadero, ingresa la información relacionada con sus cuentas bancarias, etc. Luego genera los siguientes archivos en la carpeta de Windows, para almacenar la información robada: c:\windows\Email.log c:\windows\Pass.log c:\windows\Req.log La información capturada, es luego enviada periódicamente a un servidor FTP remoto. Modifica el archivo HOSTS agregando las siguientes cadenas, algunas de ellas para que no se pueda acceder a determinados sitios desde una máquina infectada: .ac.at .ac.nz .ac.uk .at/ .de/ .edu .o2.co.uk .sok .ust.hk 012.net acadiau.ca adaptec.com adultfriendfinder.com advisor.com ains.com.au aircanada.ca a-net.com apple.com ariba.com authorize.net ba-ca.com banking.bawag.com bearshare.com betbanking.com bigpond.net.au billerweb.com bnpparibas.net c1hrapps.com cablebg.net campoints.net canon-europe.com carleton.ca cic.gc.ca comcast.net cometsystems.com customersvc.com datasvit.net delawarenorth.com delias.com deluxepass.com dell directnic.com directsex.com douglas.bc.ca earthport.com ebankas.vb.lt ebay ecompanystore.com elance.com element5.com elsevier emetrix.com e-registernow.com esdlife.com europeonline.com eutelsat.net ezpeer.com farlep.net flextronics.com fredericks.com freedom.net game gevalia.com gigaisp.net go-fia.com guidehome.com hilton.com hku.hk hkuspace.org hostdozy.com hotbar.com hp.com https https:// ibm.com icq.com idx.com.au ihost.com iinet.net.au imrworldwide.com indigosp.com infusion-studios.com ingrammicro.com inlandrevenue.gov.uk intel.com intuitcanada.com iprimus.com.au kent.net konetic.org kundenserver.de lanck.net liveperson.net lkw-walter.com look.ca macau.ctm.net maximonline.com mcafee.com mcgill.ca mcmaster.ca medibank.com.au mgm-mirage.com microsoft.com monster.com mouse2mobile.com music mysylvan.com nacelink.com netbilling.com netfirms.com netspeed.com.au nike.com.hk northeast.on.ca novuslink.net nwa.com nzqa.govt.nz o2online.de oberon-media.com onba.zkb.ch onlineaccess.net optusnet.com.au opusit.com.sg orcon.net ordering.co.uk oztralia.com playstation.com preschoicefinancial.com prudential.com.hk puma.com queensu.ca quickbooks.com raiffeisendirect. rba.hr recruitsoft.com register.com reuters.com rogers.com safeform.com safesite.com salesforce.com sammikk.com samsunggsbn.com sap-ag.de sbc.com s-central.com.au sciamdigital.com scicollege.org.sg searchfit.org seatbooker.net sebra.com securecart.net secureordering.com secureserver.net securewebexchange.com securitymetrics.com selfmgmt.com senecac.on.ca sephora.com serviticket.com sfa.prudential.com.sg sfgov.org shaw.ca sheridanc.on.ca shkcorpws5.shkp.com shopadmin.daum.net shoppersoptimum.ca shopundco.com shutterfly.com sierraclub.org signup.sprint.ca silicon-power.com simplyhotels.com sims.sfu.ca singaporeair.com singnet.com.sg site-secure.com sms.ac snapfish.com soccer.com solo3.nordea.fi sony soundclick.com sparkart.com sparknotes.com speedera.net spiritair.com sportingbet.com sportodds.com sqnet.com.sg srp.org.sg ssdcl.com.sg stanfordalumni.org starbiz.net.sg starhubshop.com.sg streamload.com supergo.com swamp.lan sympatico.ca tatrabanka.sk tbihosting.com tdcwww.net techdata.com telpacific.com.au telstra.com telusmobility.com tepore.com theaa.com there.com thewheelconnection.com three.com.hk ti.com ticketmaster.com tickle.com tirerack.com tm.net.my tmi-wwa.com t-mobile.co.uk t-mobile.com towerhobbies.com travel.com.au travel.priceline.com travelclub.swiss.com travelcommunications.co.uk trekblue.com trivita.com trust1.com trustinternational.com tsn.cc ubc.ca ubi.com ucas.co.uk ultrastar.com unb.ca united.intranet.ual.com unixcore.com uoguelph.ca uottawa.ca upjs.sk ups.com usafis.org uscden.net uscitizenship.info uwaterloo.ca uwindsor.ca va-bank.com vandyke.com vasa.slsp.sk veloz.com victoriassecret.com videotron.com virginblue.com.au virginmobileusa.com vodafone vodafone.co.uk vpost.com.sg vutbr.cz w2express.com walgreens.com watchguard.com webassign.net webeweb.net webtrendslive.com webzdarma.cz western-inventory.com willhill.com wn.com.au worldgaming.net worldwinner.com worth1000.com wrem.sis.yorku.ca xs4all.nl xtra.co.nz yagma.com ych.com yes.com.hk yesasia.com yimg.com yorku.ca yourastrologysite.com ytv.com zoovy.com zwallet.com Además de la información bancaria del usuario y sus contraseñas, el troyano reune todas las direcciones de correo electrónico que se pueden encontrar en el sistema. La lista de las direcciones obtenidas es guardada en un archivo llamado EMAIL.LOG. Dichas direcciones son buscadas en documentos con las siguientes extensiones: .htm .txt * Relacionados: Troj/Down.Small.AIN. Descarga y ejecuta Spy.Banker http://www.vsantivirus.com/down-small-ain.htm * Limpieza manual IMPORTANTE: Mientras se realiza la limpieza manual de este troyano, es importante desconectar físicamente el cable telefónico o la conexión ADSL, etc. Antes, asegúrese de tener actualizado su antivirus. * Desregistrar el componente BHO (browser helper object) 1. Cierre el Internet Explorer y cualquier otra ventanas abierta 2. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter): regsvr32 /u ASH.DLL 3. Se puede abrir una ventana del Internet Explorer. Si es así ciérrela. 4. Apague su computadora y aguarde cinco segundos por lo menos, antes de reiniciarla en modo a prueba de errores, como se indica en el siguiente artículo: Cómo iniciar su computadora en Modo a prueba de fallos http://www.vsantivirus.com/faq-modo-fallo.htm 6. Desde modo a prueba de fallos, ejecute un antivirus actualizado para borrar todas las apariciones de este troyano. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\Email.log c:\windows\Pass.log c:\windows\Req.log c:\windows\system32\ASH.DLL Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT 3. Haga clic en la carpeta "HKEY_CLASSES_ROOT" y borre las siguientes subcarpetas: AntiSpy.AntiSpy AntiSpy.AntiSpy.1 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \CLSID \{C6176B04-8896-4446-9939-E00EE94C420F} 5. Borre la carpeta {C6176B04-8896-4446-9939-E00EE94C420F} 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \Interface \{17A45F93-AEC8-440B-AC33-1BA9CC3192AC} 7. Borre la carpeta {17A45F93-AEC8-440B-AC33-1BA9CC3192AC} 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \TypeLib \{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F} 9. Borre la carpeta {D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F} 10. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Procedimiento para restaurar página de inicio en Internet Explorer 1. Cierre todas las ventanas del Internet Explorer abiertas 2. Seleccione "Mi PC", "Panel de control". 3. Haga clic en el icono "Opciones de Internet". 4. Seleccione la lengüeta "Programas". 5. Haga clic en el botón "Restablecer configuración Web" 6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI. 7. Haga clic en "Aceptar". * Seleccionar la página de inicio del Internet Explorer Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual". * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. * Restaurar Microsoft Windows AntiSpyware Cómo el troyano elimina dicho programa, si usted lo utiliza debe volver a reinstalarlo desde el siguiente enlace: Microsoft Windows AntiSpyware http://www.microsoft.com/athome/security/spyware/software/defa ult.mspx * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Down.Small.AIN. Descarga y ejecuta Spy.Banker _____________________________________________________________ http://www.vsantivirus.com/down-small-ain.htm Nombre: Troj/Down.Small.AIN Nombre NOD32: Win32/TrojanDownloader.Small.AIN Tipo: Caballo de Troya Alias: Small.AIN, TROJ_SMALL.WD, PSW.Banker.13.B, TR/Spy.Banker.jv, Trj/Banker.CB, Troj/BankAsh-A, TROJ_SMALL.WD, Trojan.Downloader.Small.AIN, Trojan.PWS.EBank, Trojan-Downloader.Win32.Small.ain, TrojanSpy:Win32/Banker.JV, Win32/TrojanDownloader.Small.AIN Relacionados: Troj/Spy.Banker.JV Fecha: 9/feb/05 Plataforma: Windows 32-bit Tamaño: 171,008 bytes (PECompact) Caballo de Troya que intenta hacerse pasar por un software legítimo. Cuando un usuario lo ejecuta engañado, el troyano realiza acciones inesperadas o no autorizadas en el equipo de la víctima. Puede arribar como parte del paquete de instalación de otro malware, o ser instalado cuando el usuario visita un sitio Web en particular, el cuál descarga el troyano en el sistema, utilizando scripts maliciosos. También puede ser descargado por el propio usuario, pensando se trata de una utilidad legítima. Cuando se ejecuta, libera y registra en el sistema a la biblioteca ASH.DLL: c:\windows\system32\ASH.DLL ASH.DLL (Direct Link Library), es el troyano detectado como "Spy.Banker.JV" por NOD32 (también conocido como "Spybank.A" por otros antivirus), un troyano capaz de deshabilitar al "Microsoft Windows AntiSpyware". Finalmente, intenta descargar un archivo de la siguiente dirección de Internet: http://??????.net/vbrtl.exe Actualmente, dicho archivo no es accesible. * Relacionados: Troj/Spy.Banker.JV. Elimina al MS Windows AntiSpyware http://www.vsantivirus.com/troj-spy-banker-jv.htm * Reparación manual NOTA: Tenga en cuenta que de acuerdo a los archivos maliciosos descargados y ejecutados por el virus, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. 4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Aimdes.C. Falso mensaje enviado por Symantec _____________________________________________________________ http://www.vsantivirus.com/aimdes-c.htm Nombre: W32/Aimdes.C Nombre NOD32: Win32/Aimdes.C Tipo: Gusano de Internet Alias: Aimdes.C, Win32/Aimdes.C, Malware-d, W32.Aimdes.C@mm, WORM_AIMDES.C Fecha: 16/feb/05 Plataforma: Windows 32-bit Tamaño: 53,248 bytes (UPX) Este gusano se propaga por AOL Instant Messenger y a través del correo electrónico. En este último caso, utiliza un mensaje como el siguiente: De: securityresponse @ symantec.com Asunto: [uno de los siguientes] Antivirus Update Blaster strikes again...please read! Destroy Blaster New Computer Virus Protection!! New worm on the looser please read Protect your SYSTEM from new viruses! Read it! Read this for your PC's safety!! Read this please! Texto del mensaje: Dear user, a new variant of the worm 'Blaster' has been released a week ago! It's spreading faster than it ever did, this version of Blaster has been classified as 'Category 5'. Please click on the following link to understand how bad is a worm classified in Category 5: http:/ /securityresponse .symantec .com/avcenter/ threat .severity .html#category Symantec has developped a new 'patch' file which will prevent the new variant of Blaster to be execu ted and keep your system safe and clean. The Patch file can be found in the attachment, please make sure you install it before being infected, because if you're already infected, the patch file cannot fix/remove this type of threat as it's not yet studied quite good. Symantec strongly recommends you to download and install the patch file before it's too late! Symantec will soon release the 'Removal Tool' for this threat. So if you don't often visit Symantec.com, we recommend you to visit us everyday to be in touch with the news of this type of threat. P.S: We would like to thank Mr.Bazzi for making this patch file. Regards, Symantec, http:/ /www .symantec .com Datos adjuntos: patch.zip Cuando se ejecuta, crea los siguientes archivos: c:\party!!.pif c:\windows\sys32dll.exe [carpeta de inicio]\norton.exe Donde [carpeta de inicio] puede ser alguna de las siguientes: c:\documents and settings \[nombre usuario]\menú inicio\programas\inicio c:\documents and settings \[nombre usuario]\start menu\programs\startup NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run MsVBdll = "c:\windows\sys32dll.exe" HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Run MsVBdll = "c:\windows\sys32dll.exe" También intenta deshabilitar el cortafuegos de Windows XP, la notificación de estado del antivirus a través del Centro de seguridad de Windows XP SP2, así como el acceso al Administrador de Tareas y las herramientas de edición del registro, creando las siguientes entradas en el registro: HKCU\Software\Microsoft\security center AntiVirusDisableNotify = "1" HKCU\Software\Microsoft\security center DisableRegistryTools = "1" HKCU\Software\Microsoft\security center DisableTaskMgr = "1" HKCU\Software\Microsoft\security center FirewallDisableNotify = "1" HKCU\Software\Microsoft\security center UpdatesDisableNotify = "1" HKCU\Software\Microsoft \Windows\CurrentVersion\Policies\System DisableRegistryTools = "1" HKCU\Software\Microsoft \Windows\CurrentVersion\Policies\System DisableTaskMgr = "1" HKLM\SOFTWARE\Microsoft\security center AntiVirusDisableNotify = "1" HKLM\SOFTWARE\Microsoft\security center FirewallDisableNotify = "1" HKLM\SOFTWARE\Microsoft\security center UpdatesDisableNotify = "1" HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU NoAutoUpdate = "1" Si existe, borra la siguiente entrada: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Run Windows = "Auto Update.exe" Para enviarse por correo electrónico, el gusano busca direcciones en archivos del disco duro con las siguientes extensiones: .asp .doc .hta .hte .htm .html .htt .htx .rtf .shtml .stm .txt .xml Envía códigos de teclas para abrir el AOL Instant Messenger, e intenta enviar el siguiente mensaje: Hey I went to a wild party last week! check out the pics!!!! Datos adjuntos: c:\party.pif!! Puede enviarse a todos los contactos de la libreta de direcciones del Outlook y Outlook Express, en un mensaje como el visto antes. Después del envío del mensaje, el mismo es borrado de la carpeta de mensajes enviados. El archivo "c:\party.pif!!" también es borrado. Puede detener los siguientes procesos del sistema: svchost.exe lsass.exe * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Renombre REGEDIT.EXE como REGEDIT.COM Debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que el gusano evitará que se ejecute REGEDIT.EXE. 1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.exe Regedit.com En Windows 2000 y XP, cambie COMMAND por CMD. Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.). * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Descargue el siguiente archivo: http://www.videosoft.net.uy/restore.reg 2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro. 3. Ejecute el editor de registro. Desde una ventana MS-DOS o "Símbolo del sistema", escriba REGEDIT y pulse ENTER 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: MsVBdll = "c:\windows\sys32dll.exe" 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 7. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: MsVBdll = "c:\windows\sys32dll.exe" 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Policies \Microsoft \Windows \WindowsUpdate \AU 9. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: NoAutoUpdate = 0 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \security center 11. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie las siguientes entradas por lo siguiente: FirewallDisableNotify = 0 UpdatesDisableNotify = 0 AntiVirusDisableNotify = 0 DisableTaskMgr = 0 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \security center 13. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie las siguientes entradas por lo siguiente: FirewallDisableNotify = 0 UpdatesDisableNotify = 0 AntiVirusDisableNotify = 0 14. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. 4. Reinicie Windows. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Aimdes.B. Se propaga por AOL Instant Messenger _____________________________________________________________ http://www.vsantivirus.com/aimdes-b.htm Nombre: W32/Aimdes.B Nombre NOD32: Win32/Aimdes.B Tipo: Gusano de Internet Alias: Aimdes.B, Win32/Aimdes.B, IM-Worm.Win32.Aimes.b, Malware-d, W32.Aimdes.B, WORM_AIMDES.B Fecha: 16/feb/05 Plataforma: Windows 32-bit Tamaño: 40,960 bytes (UPX) Este gusano se propaga por AOL Instant Messenger y deshabilita varias características de seguridad de Windows. Envía códigos de teclas para abrir el AOL Instant Messenger, e intenta enviar el siguiente mensaje: Hey I went to a wild party last week! check out the pics!!!! Datos adjuntos: c:\party.pif!! Cuando se ejecuta, crea los siguientes archivos: c:\party!!.pif c:\windows\sys32dll.exe [carpeta de inicio]\norton.exe Donde [carpeta de inicio] puede ser alguna de las siguientes: c:\documents and settings \[nombre usuario]\menú inicio\programas\inicio c:\documents and settings \[nombre usuario]\start menu\programs\startup NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Crea alguna de las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run MsVBdll = c:\windows\sys32dll.exe sys32dll = c:\windows\sys32dll.exe HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Run MsVBdll = c:\windows\sys32dll.exe sys32dll = c:\windows\sys32dll.exe También intenta deshabilitar el cortafuegos de Windows XP, la notificación de estado del antivirus a través del Centro de seguridad de Windows XP SP2, así como el acceso al Administrador de Tareas y las herramientas de edición del registro, creando las siguientes entradas en el registro: HKCU\Software\Microsoft\security center AntiVirusDisableNotify = "1" HKCU\Software\Microsoft\security center DisableRegistryTools = "1" HKCU\Software\Microsoft\security center DisableTaskMgr = "1" HKCU\Software\Microsoft\security center FirewallDisableNotify = "1" HKCU\Software\Microsoft\security center UpdatesDisableNotify = "1" HKCU\Software\Microsoft \Windows\CurrentVersion\Policies\System DisableRegistryTools = "1" HKCU\Software\Microsoft \Windows\CurrentVersion\Policies\System DisableTaskMgr = "1" HKLM\SOFTWARE\Microsoft\security center AntiVirusDisableNotify = "1" HKLM\SOFTWARE\Microsoft\security center FirewallDisableNotify = "1" HKLM\SOFTWARE\Microsoft\security center UpdatesDisableNotify = "1" HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU NoAutoUpdate = "1" Si existe, intenta borrar la siguiente entrada del registro: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Run Windows = "Auto Update.exe" Puede detener los siguientes procesos del sistema: svchost.exe lsass.exe * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Renombre REGEDIT.EXE como REGEDIT.COM Debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que el gusano evitará que se ejecute REGEDIT.EXE. 1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.exe Regedit.com En Windows 2000 y XP, cambie COMMAND por CMD. Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.). * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Descargue el siguiente archivo: http://www.videosoft.net.uy/restore.reg 2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro. 3. Ejecute el editor de registro. Desde una ventana MS-DOS o "Símbolo del sistema", escriba REGEDIT y pulse ENTER 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y borre la entrada que aparezca de la siguiente lista: MsVBdll = c:\windows\sys32dll.exe sys32dll = c:\windows\sys32dll.exe 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 7. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y borre la entrada que aparezca de la siguiente lista: MsVBdll = c:\windows\sys32dll.exe sys32dll = c:\windows\sys32dll.exe 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Policies \Microsoft \Windows \WindowsUpdate \AU 9. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: NoAutoUpdate = 0 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \security center 11. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie las siguientes entradas por lo siguiente: FirewallDisableNotify = 0 UpdatesDisableNotify = 0 AntiVirusDisableNotify = 0 DisableTaskMgr = 0 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \security center 13. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie las siguientes entradas por lo siguiente: FirewallDisableNotify = 0 UpdatesDisableNotify = 0 AntiVirusDisableNotify = 0 14. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. 4. Reinicie Windows. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - W32/Aimdes.B1. Se propaga por AOL Instant Messenger _____________________________________________________________ http://www.vsantivirus.com/aimdes-b1.htm Nombre: W32/Aimdes.B1 Nombre NOD32: Win32/Aimdes.B1 Tipo: Gusano de Internet Alias: Aimdes.B1, Win32/Aimdes.B1, Malware-d Fecha: 16/feb/05 Plataforma: Windows 32-bit Tamaño: 45 Kb aprox. (UPX) Este gusano se propaga por AOL Instant Messenger y deshabilita varias características de seguridad de Windows. Envía códigos de teclas para abrir el AOL Instant Messenger, e intenta enviar el siguiente mensaje: Hey I went to a wild party last week! check out the pics!!!! Datos adjuntos: c:\party.pif!! Cuando se ejecuta, crea los siguientes archivos: c:\party!!.pif c:\windows\sys32dll.exe [carpeta de inicio]\norton.exe Donde [carpeta de inicio] puede ser alguna de las siguientes: c:\documents and settings \[nombre usuario]\menú inicio\programas\inicio c:\documents and settings \[nombre usuario]\start menu\programs\startup NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Crea alguna de las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run MsVBdll = c:\windows\sys32dll.exe sys32dll = c:\windows\sys32dll.exe HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Run MsVBdll = c:\windows\sys32dll.exe sys32dll = c:\windows\sys32dll.exe También intenta deshabilitar el cortafuegos de Windows XP, la notificación de estado del antivirus a través del Centro de seguridad de Windows XP SP2, así como el acceso al Administrador de Tareas y las herramientas de edición del registro, creando las siguientes entradas en el registro: HKCU\Software\Microsoft\security center AntiVirusDisableNotify = "1" HKCU\Software\Microsoft\security center DisableRegistryTools = "1" HKCU\Software\Microsoft\security center DisableTaskMgr = "1" HKCU\Software\Microsoft\security center FirewallDisableNotify = "1" HKCU\Software\Microsoft\security center UpdatesDisableNotify = "1" HKCU\Software\Microsoft \Windows\CurrentVersion\Policies\System DisableRegistryTools = "1" HKCU\Software\Microsoft \Windows\CurrentVersion\Policies\System DisableTaskMgr = "1" HKLM\SOFTWARE\Microsoft\security center AntiVirusDisableNotify = "1" HKLM\SOFTWARE\Microsoft\security center FirewallDisableNotify = "1" HKLM\SOFTWARE\Microsoft\security center UpdatesDisableNotify = "1" HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU NoAutoUpdate = "1" Si existe, intenta borrar la siguiente entrada del registro: HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Run Windows = "Auto Update.exe" Puede detener los siguientes procesos del sistema: svchost.exe lsass.exe * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Renombre REGEDIT.EXE como REGEDIT.COM Debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que el gusano evitará que se ejecute REGEDIT.EXE. 1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.exe Regedit.com En Windows 2000 y XP, cambie COMMAND por CMD. Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.). * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Descargue el siguiente archivo: http://www.videosoft.net.uy/restore.reg 2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro. 3. Ejecute el editor de registro. Desde una ventana MS-DOS o "Símbolo del sistema", escriba REGEDIT y pulse ENTER 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y borre la entrada que aparezca de la siguiente lista: MsVBdll = c:\windows\sys32dll.exe sys32dll = c:\windows\sys32dll.exe 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 7. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y borre la entrada que aparezca de la siguiente lista: MsVBdll = c:\windows\sys32dll.exe sys32dll = c:\windows\sys32dll.exe 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Policies \Microsoft \Windows \WindowsUpdate \AU 9. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: NoAutoUpdate = 0 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \security center 11. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie las siguientes entradas por lo siguiente: FirewallDisableNotify = 0 UpdatesDisableNotify = 0 AntiVirusDisableNotify = 0 DisableTaskMgr = 0 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \security center 13. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie las siguientes entradas por lo siguiente: FirewallDisableNotify = 0 UpdatesDisableNotify = 0 AntiVirusDisableNotify = 0 14. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. 4. Reinicie Windows. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1686 Año 9, jueves 17 de febrero de 2005

VSAntivirus y VSAyuda son servicios gratuitos de Video Soft Computación
Bergalli 462, Maldonado - Uruguay - Tel. 598 (42) 22 29 35