Mostrando mensaje 730     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1681 Año 9, sábado 12 de febrero de 2005 Fecha: Sabado, 12 de Febrero, 2005  09:12:58 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1681 Año 9, sábado 12 de febrero de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - DoS en ZoneAlarm y Check Point Software Integrity 2 - Hoax: "Bin Laden colgado" (Alerta de virus, SPAM) 3 - W32/Anker.C. Asunto: "Paris Hilton...download it!" _____________________________________________________________ 1 - DoS en ZoneAlarm y Check Point Software Integrity _____________________________________________________________ http://www.vsantivirus.com/vul-za-110205.htm DoS en ZoneAlarm y Check Point Software Integrity Por Angela Ruiz angela@videosoft.net.uy ZoneAlarm es un popular cortafuegos, que posee además una versión gratuita para uso personal. Check Point Integrity Client es un producto para controlar los accesos a la red y a las aplicaciones a nivel corporativo (VPN, SSL, correo Web, etc.). Ambos productos son fabricados por Secure Labs y Check Point. Se ha reportado que ZoneAlarm y Check Point Integrity Client, son propensos a una vulnerabilidad capaz de provocar una denegación de servicio (DoS). Dicha vulnerabilidad es explotable solo localmente. Sin embargo, un atacante remoto, valiéndose de otras vulnerabilidades (no necesariamente de estos productos), podría sacar provecho de este fallo. El problema lo ocasiona una desreferencia inválida de puntero. Un puntero es una representación simbólica de una dirección de memoria. La desreferencia de un puntero es la modificación de la variable a la que apunta el puntero. El elemento vulnerable es VSDATANT.SYS, que falla si se utiliza un argumento inválido en una de las funciones soportadas. Un ataque exitoso, puede resultar en una condición de denegación de servicio en el kernel de Windows (el programa deja de responder y Windows se podría congelar mostrando una pantalla azul de la muerte). La solución es reiniciar el sistema. Son vulnerables todas las variantes de ZoneAlarm Security Suite, ZoneAlarm Pro, y ZoneAlarm freeware anteriores a la versión 5.5.062.011. También las versiones de Check Point Integrity Client anteriores a la 4.5.122.000 y 5.1.556.166, son consideradas vulnerables. Actualmente no existen ni se han reportado exploits o alguna clase de ataque a equipos vulnerables. * Solución El vendedor ha realizado nuevas versiones de ZoneAlarm (5.5.062.011) y Check Point Integrity Client (4.5.122.000 y 5.1.556.166), disponibles para la descarga. Más información y descarga de ZoneAlarm: http://www.vsantivirus.com/otros.htm * Relacionados: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Productos vulnerables: - Check Point Software Integrity Client 4.5 - Check Point Software Integrity Client 5.0 - Zone Labs ZoneAlarm 2.1 - Zone Labs ZoneAlarm 2.2 - Zone Labs ZoneAlarm 2.3 - Zone Labs ZoneAlarm 2.4 - Zone Labs ZoneAlarm 2.5 - Zone Labs ZoneAlarm 2.6 - Zone Labs ZoneAlarm 3.0 - Zone Labs ZoneAlarm 3.1 - Zone Labs ZoneAlarm 3.7.202 - Zone Labs ZoneAlarm 4.0 - Zone Labs ZoneAlarm 4.5.538.001 - Zone Labs ZoneAlarm 5.1 - Zone Labs ZoneAlarm Pro 2.4 - Zone Labs ZoneAlarm Pro 2.6 - Zone Labs ZoneAlarm Pro 3.0 - Zone Labs ZoneAlarm Pro 3.1 - Zone Labs ZoneAlarm Pro 4.0 - Zone Labs ZoneAlarm Pro 4.5 .538.001 - Zone Labs ZoneAlarm Pro 4.5 - Zone Labs ZoneAlarm Pro 5.0.590 .015 - Zone Labs ZoneAlarm Pro 5.1 - Zone Labs ZoneAlarm Pro 5.5 .062 - Zone Labs ZoneAlarm Security Suite 5.1 - Zone Labs ZoneAlarm Security Suite 5.5 .062 - Zone Labs ZoneAlarm Security Suite 5.5 * Software NO vulnerable: - Check Point Software Integrity Client 4.4.122.000 - Check Point Software Integrity Client 5.1.556.166 - Zone Labs ZoneAlarm 5.5.062.011 - Zone Labs ZoneAlarm Pro 5.5.062.011 - Zone Labs ZoneAlarm Security Suite 5.5.062.011 * Créditos: iDEFENSE Labs. * Referencias: Este fallo ha sido asignado como CAN-2005-0114 por el "Common Vulnerabilities and Exposures project" (cve.mitre.org). Zone Labs IPC Instability http://download.zonelabs.com/bin/free/securityAlert/19.html ZoneAlarm 5.1 Invalid Pointer Dereference Vulnerability http://www.idefense.com/application/poi/display?id=199&type=vu lnerabilities&flashstatus=false Zone Labs http://www.zonelabs.com/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Hoax: "Bin Laden colgado" (Alerta de virus, SPAM) _____________________________________________________________ http://www.vsantivirus.com/hoax-virus-binladen-091004.htm Hoax: "Bin Laden colgado" (Alerta de virus, SPAM) Título mensaje: Por seguridad de su computadora. Alias: BIN LADEN COLGADO Blanco del Hoax: Usuarios de Internet Formato: Correo electrónico Remitente: Remitentes conocidos o desconocidos Acción: SPAM, Desinformación, intento de broma Fecha: Febrero 2005 Este hoax (bulo o broma), se ha estado divulgando por correo electrónico, propagándose por diversos ambientes y entornos de usuarios de Internet. El mensaje, indica la propagación de una supuesta "página" que es enviada por correo electrónico, la cuál muestra fotos de Bin Laden colgado. Cuando dicha página es abierta "SE DESTRUYE TODO EL DISCO DURO SIN POSIBILIDAD DE SER RECONSTRUIDO". Si bien existen numerosos casos de gusanos o troyanos que son enviados en mensajes que se valen de personajes conocidos (como Bin Laden o Arnold Schwarzenegger por mencionar casos recientes), los cuáles al ser descargados por usuarios incautos, pueden hacer que se ejecute un troyano (por ejemplo "Hackarmy", ver "Los virus de Bin Laden y Schwarzenegger", http://www.vsantivirus.com/ev-26-07-04.htm), no existe al momento actual ninguna alerta de malware que produzca la destrucción anunciada. Sin embargo, debemos recordar lo fácil que es enviar cualquier clase de código malicioso como adjunto, o embebido en el código HTML. Incluso se han reportado numerosas vulnerabilidades que pueden facilitar dicha acción, por lo que es bueno recordar la regla básica de no abrir JAMAS adjuntos ni hacer clic en enlaces de mensajes no solicitados, sin importar su procedencia (aún cuando parezca ser enviado por conocidos). También es importante tener al día el antivirus, así como todas las actualizaciones publicadas para programas y sistema operativo. Reenviar mensajes como este, pensando que se está ayudando a conocidos o familiares, al prevenirlos de una supuesta infección, solo causa más correo basura, posibilita la captura de direcciones electrónicas por parte de spammers, e incluso de virus que las utilizan para reenviarse. Recuerde, jamás reenvíe ningún mensaje cuyas características coincidan con nuestra ya clásica "Regla de tres simple para NO enviar correo basura". Para ello, cuando esté a punto de reenviar un mensaje, hágase siempre estas tres preguntas: 1. ¿Escribió alguien más este mensaje? 2. ¿Está enviándolo a una lista larga de personas? 3. ¿Es un chiste, advertencia de cualquier clase que le llegó por correo, llamada de atención, poesía?. ¡Si la respuesta es SI a cualquiera de ellas, NO lo envíe! Más allá de lo que estas falsas alarmas le adviertan, tenga en cuenta que nada impide que en el futuro aparezca un virus o troyano que se aproveche de imágenes como la mencionada. --- Texto del mensaje "VIRUS FATAL" --- Asunto: Por seguridad de su computadora. LA POLICÍA DE ISRAEL ACABA DE INFORMAR QUE HAY UNA PAGINA QUE ES ENVIADA CON LA FOTO DE BIN LADEN COLGADO. NO ABRIR ESTA PAGINA YA QUE AL ABRIRLA SE DESTRUYE TODO EL DISCO DURO SIN POSIBILIDAD DE SER RECONSTRUIDO. ESTA PAGINA ESTA SIENDO ENVIADO A TODO EL MUNDO. FAVOR ENVIAR ESTE AVISO A TODA PERSONA QUE CONSIDERES DEBA TENER ESTA INFORMACION. GRACIAS POR TU COLABORACIÓN --- Final del texto --- * Más hoaxes Puede encontrar una lista de las falsas alarmas más comunes, en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm, o puede consultarnos a nuestra dirección e-mail: videosoft@videosoft.net.uy cuando reciba uno de estos mensajes. * Relacionados: Correo sobre Bin Laden, descarga un troyano http://www.vsantivirus.com/troj-laden-23-04-04.htm VBS/OsamaLaden (Nedal). "Osama Bin Laden Comes Back!" http://www.vsantivirus.com/osamaladen.htm Hoax: En busca de Osama Bin Laden http://www.vsantivirus.com/hoax-bin-laden.htm El virus "Bin Laden" se propaga en China http://www.vsantivirus.com/23-11-01.htm W32/Toal.A. Un mensaje con el adjunto BINLADEN_BRASIL.EXE http://www.vsantivirus.com/toal-a.htm Los virus de Bin Laden y Schwarzenegger http://www.vsantivirus.com/ev-26-07-04.htm No hay antivirus contra la curiosidad http://www.vsantivirus.com/04-08-04.htm W32/Bobax.M. Usa e-mail y vulnerabilidad LSASS http://www.vsantivirus.com/bobax-m.htm W32/Bobax.N. Usa e-mail y vulnerabilidad LSASS http://www.vsantivirus.com/bobax-n.htm Back/Hackarmy.I. Troyano de acceso remoto http://www.vsantivirus.com/back-hackarmy-i.htm * Agradecimientos: A Raúl Mendoza (México), por enviarnos una muestra de este HOAX. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Anker.C. Asunto: "Paris Hilton...download it!" _____________________________________________________________ http://www.vsantivirus.com/anker-c.htm Nombre: W32/Anker.C Nombre NOD32: Win32/Anker.C Tipo: Gusano de Internet Alias: Anker.C, Email-Worm.Win32.Anker.c, W32/Anker.B@mm, W32/Generic.a@MM, WIN.WORM.Virus, Win32.Anker.C@mm, Win32/Anker.C, Win32/VBMassMail.gen+, WORM_AHKER.C Fecha: 11/feb/05 Plataforma: Windows 32-bit Tamaño: 10,752 bytes (UPX) Este gusano se propaga por correo electrónico, utilizando mensajes como el siguiente: Asunto: Paris Hilton...download it! Texto del mensaje: Hey man..Download it...I never saw paris gettin' fucked this way! Ohhhh man! you better watch the first 23 mins of this clip! Datos adjuntos: C:\\ParisXXX.zip El archivo adjunto es descargado por el gusano desde la siguiente página Web: http://geocities.com/??????/ahkerc.zip Cuando se ejecuta, se copia en la carpeta de Windows: c:\windows\MSAHKER.EXE Crea las siguientes entradas en el registro para autoejecutarse automáticamente en cada reinicio del sistema: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices Ahker Service = "msahker.exe" HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\WindowsUpdate\Auto Update (Predeterminado) = "msahker.exe" Modifica el registro para ejecutarse cada vez que se abre un archivo de texto (.TXT): HKCR\txtfile\shell\open\command (Predeterminado) = "MSAHKER.EXE %1" Para propagarse por correo electrónico, utiliza un mensaje como el ya descrito. Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde una máquina infectada: www .astalavista .com www .cnn .com www .coderheaven .com www .cyber-underground .net www .fbi .gov www .gamerevolution .com www .geocities .com www .google .com www .hackers .com www .hotmail .com www .idm .net .lb www .library .2ya .com www .liveupdate .symantecliveupdate .com www .messenger .msn .com www .msn .com www .norton .com www .windowsupdate .microsoft .com www .worldsex .com www .yahoo .com El gusano deshabilita una variedad de aplicaciones del propio Windows, como el editor del registro, el bloc de notas, Wordpad, MSN Messenger, la actualización automática de Windows, etc.: c:\archivos de programa\msn messenger\msnmsgr.exe c:\archivos de programa\symantec\liveupdate\alunotify.exe c:\archivos de programa\symantec\liveupdate\aupdate.exe c:\archivos de programa\symantec\liveupdate\luall.exe notepad.exe regedit.exe wordpad.exe write.exe wuauclt.exe wupdmgr.exe Para ello, crea o modifica las siguientes entradas en el registro: HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\System DisableTaskMgr = "dword:00000001" HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\System DisableRegistryTools = "dword:00000001" HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer NoRun = "dword:00000001" HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer DisallowRun = "1" HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\DisallowRun 1 = "regedit.exe" HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\DisallowRun 2 = "notepad.exe" HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\DisallowRun 3 = "wordpad.exe" HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\DisallowRun 4 = "write.exe" HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\DisallowRun 5 = "wuauclt.exe" HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\DisallowRun 6 = "wupdmgr.exe" HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\DisallowRun 7 = "C:\Program Files\MSN Messenger\msnmsgr.exe" También deshabilita la recuperación automática del sistema en los Windows que la soportan, modificando las siguientes entradas: HKCU\Software\Microsoft\Windows NT\ CurrentVersion\systemrestore DisableSR = "dword:00000001" HKCU\Software\Microsoft\security center FirewallDisableNotify = "dword:00000001" También deshabilita la actualización automática y el cortafuegos de Windows XP: HKCU\Software\Microsoft\security center UpdatesDisableNotify = "dword:00000001" HKCU\Software\Microsoft\security Center AntiVirusDisableNotify = "dword:00000001" HKCU\Software\Policies\Microsoft\Windows\ WindowsUpdate\AU NoAutoUpdate = "dword:00000001" También puede detener los siguientes procesos del sistema: lsass.exe services.exe svchost.exe El gusano cambia el nombre de la computadora infectada por el siguiente: Agent Hacker * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Renombre REGEDIT.EXE como REGEDIT.COM Debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que el gusano evitará que se ejecute REGEDIT.EXE. 1. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter: Command /c Rename C:\Windows\Regedit.exe Regedit.com En Windows 2000 y XP, cambie COMMAND por CMD. Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej: C:\NOMBRE\REGEDIT.EXE, etc.). * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Descargue el siguiente archivo: http://www.videosoft.net.uy/restore.reg 2. Una vez en su computadora, haga doble clic sobre él para agregar su contenido al registro. 3. Ejecute el editor de registro. Desde una ventana MS-DOS o "Símbolo del sistema", escriba REGEDIT y pulse ENTER 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CLASSES_ROOT \txtfile \shell \open \command 5. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: (Predeterminado) = NOTEPAD.EXE %1 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Security Center 7. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: AntiVirusDisableNotify = 0 FirewallDisableNotify = 0 UpdatesDisableNotify = 0 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Explorer 9. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: NoRun = 0 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows NT \CurrentVersion \systemrestore 11. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: DisableSR = 0 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Policies \Microsoft \Windows \WindowsUpdate \AU 13. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: NoAutoUpdate = 0 AUOptions = 0 14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Policies \Microsoft \WindowsFirewall \DomainProfile 15. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: EnableFirewall = 0 16. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Policies \Microsoft \WindowsFirewall \StandardProfile 17. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: EnableFirewall = 0 18. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \security center 19. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: DisableNotify = 0 UpdatesDisableNotify = 0 AntiVirusDisableNotify = 0 20. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Policies \Microsoft \WindowsFirewall \DomainProfile 21. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: EnableFirewall = 0 22. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Policies \Microsoft \WindowsFirewall \StandardProfile 23. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: EnableFirewall = 0 24. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Policies \Microsoft \Windows \WindowsUpdate \AU 25. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: AUOptions = 0 NoAutoUpdate = 0 26. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Explorer 27. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DisallowRun = "1" 28. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Explorer \DisallowRun 29. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: 1 = "regedit.exe" 2 = "notepad.exe" 3 = "wordpad.exe" 4 = "write.exe" 5 = "wuauclt.exe" 6 = "wupdmgr.exe" 7 = "c:\archivos de programa\MSN Messenger\msnmsgr.exe" 8 = "c:\archivos de programa\Symantec\Liveupdate\LUALL.exe" 9 = "c:\archivos de programa\Symantec\Liveupdate\AUPDATE.exe" 10 = "c:\archivos de programa\Symantec\Liveupdate\ALUNOTIFY.exe" 30. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \ComputerName \ActiveComputerName 31. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: ComputerName = [nombre de la computadora] 32. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \ComputerName \ComputerName 33. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: ComputerName = [nombre de la computadora] 34. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Eventlog 35. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y cambie la siguiente entrada por lo siguiente: ComputerName = [nombre de la computadora] 36. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 37. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Ahker Service = "msahker.exe" 38. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServices 39. Haga clic en la última carpeta indicada y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Ahker Service = "msahker.exe" 40. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 41. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Reinicie su computadora. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. 4. Reinicie Windows. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1681 Año 9, sábado 12 de febrero de 2005