| Asunto: | VSantivirus No. 1689 Año 9, domingo 20 de febrero de 2005 | | Fecha: | Domingo, 20 de Febrero, 2005 07:23:57 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1689 Año 9, domingo 20 de febrero de 2005
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Bloored.C. Infecta todos los ejecutables de C:
2 - W32/Bloored.B. Infecta todos los ejecutables de C:
3 - W32/Bloored.A. Infecta todos los ejecutables de C:
4 - W32/Exir.C. Se propaga por MSN Messenger
5 - W32/VB.NBL. Se propaga por MSN Messenger
_____________________________________________________________
1 - W32/Bloored.C. Infecta todos los ejecutables de C:
_____________________________________________________________
http://www.vsantivirus.com/bloored-c.htm
Nombre: W32/Bloored.C
Tipo: Gusano de Internet
Alias: Bloored.C, Derdero.C, W32.Derdero.C@mm
Fecha: 20/feb/05
Plataforma: Windows 32-bit
Tamaño: 82,944 bytes
Este gusano se propaga por correo electrónico y redes P2P.
Utiliza su propio motor SMTP para enviarse a todos los
contactos de la libreta de direcciones de Windows.
También puede infectar todos los archivos ejecutables .EXE en
la unidad C:
El mensaje que utiliza posee las siguientes características:
De: [dirección falsa] o una de las siguientes
firewall
help
mailman
support
tech
tsupport
virusinfo
virusresearch
vlabs
Asunto: [uno de los siguientes]
CNN: 100s of PC's hacked
CNN: Virus released, millions of computers infected
Dangerous Virus info
Hackers on the loose
Urgent Information
VIRUS OUTBREAK
You may be at risk
Texto del mensaje: [uno de los siguientes]
Thousands of PC's were hacked this week; see the
attached document for details
Viruses are quickly spreading throughout the wild. See
the attached document for details
A virus outbreak was reported today. Run the attached
patch to help protect yourselfA firewall may be of use
due to the hacking outbreak, read the attached
document
Over 5000 computers were recently hacked today. To
help protect yourself, read the attached file.
Datos adjuntos: [alguno de los siguientes]
AntiVir.???
DetroitFix.???
Firewall_tips.???
FixVirus.???
HowTo.???
Information.???
Patch.???
SpyBotPatch.???
Donde ".???" es alguna de las siguientes extensiones:
.cmd
.doc.exe
.exe
.pif
.scr
.txt.exe
.txt.scr
.wpd.exe
.zip
Si el adjunto es un .ZIP, su contenido es una copia del gusano
con una de las extensiones anteriores.
Cuando un adjunto, o un archivo infectado descargado de redes
P2P es ejecutado, el gusano muestra una ventana de error falsa
con el siguiente mensaje:
DBADMIN.EXE
Database administrator error 106: Illegal byte seek
[ OK ]
El gusano crea los siguientes archivos en el equipo infectado:
c:\windows\dbas.zip
c:\windows\system32\DBADMIN.EXE
c:\windows\system32\dbexe.dll
c:\windows\system32\dbzip.dll
c:\windows\system32\locks.dat
c:\windows\system32\sysdasp.exe
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32"
pueden variar de acuerdo al sistema operativo instalado
("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
También crea los siguientes archivos en la misma carpeta desde
donde haya sido ejecutado:
[espacios en blanco].cmd
[espacios en blanco].exe
[espacios en blanco].pif
[espacios en blanco].scr
+.rar[espacios en blanco].exe
005 Edition.exe
al C++.rar[espacios en blanco].exe
asic and Visual C++.rar[espacios en blanco].exe
c and Visual C++.rar[espacios en blanco].exe
e
exe
isual C++.rar[espacios en blanco].exe
Kazaa Lite 2005 Edition.exe
ows XP developer serials.txt[espacios en blanco].cmd
rez.iso[espacios en blanco].exe
scr
sual Basic and Visual C++.rar[espacios en blanco].exe
tivation crack.zip[espacios en blanco].exe
wn.avi[espacios en blanco].exe
xe
xt[espacios en blanco].cmd
zip[espacios en blanco].exe
El gusano infecta todos los archivos cuya extensión sea .EXE,
en todos los directorios de la unidad C:
Para propagarse por redes de intercambio de archivos, intenta
crear los siguientes en aquellas carpetas cuyo nombre contenga
la cadena SHAR (esto incluye las carpetas compartidas por
defecto por la mayoría de las aplicaciones P2P):
Bitches.mpeg[espacios en blanco].cmd
DVD Xcopy PRO AWrez.iso[espacios en blanco].exe
Full DVD download sites.txt[espacios en blanco].pif
Hacking and Virus Writing for Idiots.doc[espacios en blanco].exe
Hacking for Dummies.pdf[espacios en blanco].exe
HalfLife 2 WORKING Steam crack.exe
Hoedown.avi[espacios en blanco].exe
Internet Explorer 7.zip.exe
Kazaa Lite 2005 Edition.exe
NORTON 2006 beta FireWall.rar[espacios en blanco].scr
Norton AntiVirus 2006 BETA.exe
Pamela Anderson FULL VID.mpeg[espacios en blanco].scr
Playboy centerfold.jpeg[espacios en blanco].scr
Visual Basic and Visual C++.rar[espacios en blanco].exe
WinAmp 5.08.zip[espacios en blanco].exe
Windows 2005 SECRET BETA.iso[espacios en blanco].cmd
Windows XP developer serials.txt[espacios en blanco].cmd
Windows XP SP2 activation crack.zip[espacios en blanco].exe
Windows XP SP3 REAL VERSION.zip.exe
WinRAR 4 BETA.exe
Para autoejecutarse en cada reinicio de Windows, crea la
siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System Database Administration Support Process =
c:\windows\system32\sysdasp.exe
El gusano genera varios mutex (marcadores en memoria), para
evitar ejecutarse mas de una vez al mismo tiempo o para evitar
se ejecuten otros códigos.
Para propagarse por correo electrónico, el gusano extrae los
contactos a los que se enviará, de la libreta de direcciones
de Windows, y evita enviarse a aquellos que contengan en su
nombre alguna de las siguientes cadenas:
.gov
@avp
@fsecure
@gmai
@hotmail
@microso
@mm
@msn
@norep
@norman
@norton
@panda
@sec
@sf.net
@sopho
@symant
@vir
abuse
help
listserv
postmaster
root
sample
sarc.
sarclist
secur
sophos
sourcef
support
Para enviarse sus mensajes infectados, utiliza su propio motor
SMTP.
Examina si el equipo infectado se encuentra conectado a
Internet, intentando acceder a los siguientes sitios:
cisco .com
lists .tislabs .com
mail .sarclab .com
nortelnetworks .com
snmp .com
tislabs .com
users .sourceforge .net
Si el "Administrador de tareas" se encontrara abierto, el
gusano lo cierra.
También modifica el archivo HOSTS de Windows, para evitar que
el usuario pueda navegar por los siguientes sitios:
ca .com
google .ca
google .com
liveupdate .symantec .com
mcafee .com
microsoft .com
nai .com
norton .com
rohitab .com
securityresponse .symantec .com
windowsupdate .com
www .ca .com
www .google .ca
www .google .com
www .mcafee .com
www .microsoft .com
www .nai .com
www .norton .com
www .rohitab .com
www .sophos .com
www .windowsupdate .com
www .yahoo .com
yahoo .com
Intenta finalizar la ejecución de los siguientes procesos,
relacionados con antivirus y aplicaciones de seguridad:
agentsvr.exe
anti-trojan.exe
antivirus.exe
ants.exe
apimonitor.exe
aplica32.exe
apvxdwin.exe
atcon.exe
atguard.exe
atro55en.exe
atupdater.exe
atwatch.exe
au.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avgserv9.exe
avltmain.exe
avprotect9x.exe
avpupd.exe
avserve2.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bd_professional.exe
bidef.exe
bidserver.exe
bipcp.exe
bipcpevalsetup.exe
bisp.exe
blackd.exe
blackice.exe
bootwarn.exe
borg2.exe
bs120.exe
ccapp.exe
ccapp.exe
cdp.exe
cfgwiz.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
clean.exe
cleaner.exe
cleaner3.exe
cleanpc.exe
cmgrdian.exe
cmon016.exe
cpd.exe
cpf9x206.exe
cpfnt206.exe
cv.exe
cwnb181.exe
cwntdwmo.exe
d3dupdate.exe
defwatch.exe
deputy.exe
dpf.exe
dpfsetup.exe
drwatson.exe
drwebupw.exe
ent.exe
escanh95.exe
escanhnt.exe
escanv95.exe
exantivirus-cnet.exe
fast.exe
firewall.exe
flowprotector.exe
fp-win_trial.exe
frw.exe
fsav.exe
fsav530stbyb.exe
fsav530wtbyb.exe
fsav95.exe
gbmenu.exe
gbpoll.exe
guard.exe
hacktracersetup.exe
htlog.exe
hwpe.exe
iamapp.exe
iamserv.exe
icload95.exe
icloadnt.exe
icmon.exe
icssuppnt.exe
icsupp95.exe
icsuppnt.exe
ifw2000.exe
iparmor.exe
iris.exe
jammer.exe
kavlite40eng.exe
kavpers40eng.exe
kerio-pf-213-en-win.exe
kerio-wrl-421-en-win.exe
kerio-wrp-421-en-win.exe
killprocesssetup161.exe
ldpro.exe
localnet.exe
lockdown.exe
lockdown2000.exe
lsetup.exe
luall.exe
lucomserver.exe
luinit.exe
mcagent.exe
mcupdate.exe
mfw2en.exe
mfweng3.02d30.exe
mgui.exe
minilog.exe
moolive.exe
mrflux.exe
msconfig.exe
msinfo32.exe
mssmmc32.exe
mu0311ad.exe
nav80try.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ncinst4.exe
ndd32.exe
neomonitor.exe
netarmor.exe
netinfo.exe
netmon.exe
netscanpro.exe
netspyhunter-1.2.exe
netstat.exe
nisserv.exe
nisum.exe
nmain.exe
norton_internet_secu_3.0_407.exe
npf40_tw_98_nt_me_2k.exe
npfmessenger.exe
nprotect.exe
nsched32.exe
ntvdm.exe
nupgrade.exe
nvarch16.exe
nwinst4.exe
nwtool16.exe
ostronet.exe
outpost.exe
outpostinstall.exe
outpostproinstall.exe
padmin.exe
panixk.exe
pavproxy.exe
pcc2002s902.exe
pcc2k_76_1436.exe
pcciomon.exe
pcdsetup.exe
pcfwallicon.exe
pcip10117_0.exe
pdsetup.exe
periscope.exe
persfw.exe
pf2.exe
pfwadmin.exe
pingscan.exe
platin.exe
poproxy.exe
popscan.exe
portdetective.exe
ppinupdt.exe
pptbc.exe
ppvstop.exe
procexplorerv1.0.exe
proport.exe
protectx.exe
pspf.exe
purge.exe
pview95.exe
qconsole.exe
qserver.exe
rav8win32eng.exe
rescue.exe
rescue32.exe
rrguard.exe
rshell.exe
rtvscn95.exe
rulaunch.exe
safeweb.exe
sbserv.exe
sd.exe
setup_flowprotector_us.exe
setupvameeval.exe
sfc.exe
sgssfw32.exe
shellspyinstall.exe
shn.exe
smc.exe
sofi.exe
spf.exe
sphinx.exe
spybot.exe
spyxx.exe
ss3edit.exe
st2.exe
supftrl.exe
supporter5.exe
symproxysvc.exe
sysedit.exe
taskmon.exe
taumon.exe
tauscan.exe
tc.exe
tca.exe
tcm.exe
tds2-98.exe
tds2-nt.exe
tds-3.exe
tfak5.exe
tgbob.exe
titanin.exe
titaninxp.exe
tracert.exe
trjscan.exe
trjsetup.exe
trojantrap3.exe
undoboot.exe
update.exe
vbcmserv.exe
vbcons.exe
vbust.exe
vbwin9x.exe
vbwinntw.exe
vcsetup.exe
vfsetup.exe
virusmdpersonalfirewall.exe
vnlan300.exe
vnpc3000.exe
vpc42.exe
vpfw30s.exe
vptray.exe
vscenu6.02d30.exe
vsecomr.exe
vshwin32.exe
vsisetup.exe
vsmain.exe
vsmon.exe
vsstat.exe
vswin9xe.exe
vswinntse.exe
vswinperse.exe
w32dsm89.exe
w9x.exe
watchdog.exe
webscanx.exe
wgfe95.exe
whoswatchingme.exe
winrecon.exe
wnt.exe
wradmin.exe
wrctrl.exe
wsbgate.exe
wyvernworksfirewall.exe
xpf202en.exe
zapro.exe
zapsetup3001.exe
zatutor.exe
zauinst.exe
zonalm2601.exe
zonealarm.exe
* Reparación manual
IMPORTANTE: Note que estas instrucciones de limpieza se dan
únicamente como una guía de referencia, ya que la recuperación
de los archivos borrados, dependerá del daño causado por el
gusano desde el momento de ocurrida la infección, hasta el
momento de su detección.
* Deshabilitar las carpetas compartidas de programas P2P
Es necesario deshabilitar la opción que permite compartir
archivos del o los programas P2P instalados en su computadora,
o podría fallar la limpieza del sistema.
Para ello, siga las instrucciones del siguiente artículo:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
System Database Administration Support Process
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que
modifique el archivo HOSTS para protegerlo de ciertos
parásitos, vuelva a ejecutar ese programa para actualizar el
archivo HOSTS con dicha información.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Bloored.B. Infecta todos los ejecutables de C:
_____________________________________________________________
http://www.vsantivirus.com/bloored-b.htm
Nombre: W32/Bloored.B
Tipo: Gusano de Internet
Alias: Bloored.B, Derdero.B, Win32/Derdero.B,
Email-Worm.Win32.Bloored.b, W32.Derdero.B@mm,
Win32.HLLP.Dermedo
Fecha: 19/feb/05
Plataforma: Windows 32-bit
Tamaño: 81,408 bytes
Este gusano se propaga por correo electrónico y redes P2P.
Utiliza su propio motor SMTP para enviarse a todos los
contactos de la libreta de direcciones de Windows.
También puede infectar todos los archivos ejecutables .EXE en
la unidad C:
El mensaje que utiliza posee las siguientes características:
De: [dirección falsa] o una de las siguientes
administration
management
server
service
support
userhelp
virus
Asunto: [uno de los siguientes]
Hackers on the loose
Information
Spyware Alert!
Virus alert
Texto del mensaje: [uno de los siguientes]
Hackers are on the loose after recent discovery of the
KaB exploit. To help protect your computer, read the
attached file.
A new kind of virus unlike you've ever seen is quickly
spreading. Read the attachment for more
The attached file contains information on how to
remove most kinds of spyware
Attached is a document with details pertaining on how
to remove the latest viruses circulating
Datos adjuntos: [alguno de los siguientes]
FixVir.???
help.???
info.???
patch.???
SpyFix.???
Donde ".???" es alguna de las siguientes extensiones:
.cmd
.doc.cmd
.doc.exe
.doc.pif
.exe
.pif
.scr
.txt.exe
.txt.pif
.zip
Si el adjunto es un .ZIP, su contenido es una copia del gusano
con una de las extensiones anteriores.
En ocasiones, el .ZIP puede contener otro archivo .ZIP, el
cuál si contiene al ejecutable del virus.
Cuando un adjunto, o un archivo infectado descargado de redes
P2P es ejecutado, el gusano muestra una ventana de error falsa
con el siguiente mensaje:
Fatal Error
Can',27h,'t access byte pointer
[ OK ]
El gusano crea los siguientes archivos en el equipo infectado:
c:\windows\system32\lesys.sys
c:\windows\system32\lzsys.sys
c:\windows\system32\nCalc.exe
c:\windows\system32\ReadMe.2.txt
c:\windows\system32\systemDA.exe
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32"
pueden variar de acuerdo al sistema operativo instalado
("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
También crea dos archivos con nombres en blanco y las
siguientes extensiones en la misma carpeta desde donde haya
sido ejecutado:
.exe
.pif
El gusano infecta todos los archivos cuya extensión sea .EXE,
en todos los directorios de la unidad C:
Para propagarse por redes de intercambio de archivos, intenta
crear los siguientes en aquellas carpetas cuyo nombre contenga
la cadena SHAR (esto incluye las carpetas compartidas por
defecto por la mayoría de las aplicaciones P2P):
Adobe Photoshop 6 Full Version.exe
Adobe Photoshop 6 Full Version.exe
Battlefield 1942.exe
Britney spears naked Playboy.jpeg[espacios en blanco].pif
DVD Copier.exe
Hot Teen Porn.mpeg[espacios en blanco].exe
Internet Explorer 7.exe
jenna jameson screensaver.scr
Kazaa Lite 2005 Edition.zip[espacios en blanco].pif
NETSKY SOURCE CODE.zip[espacios en blanco].exe
Norton AntiVirus 2006 BETA.exe
Snood new version.exe
Tits.mpeg[espacios en blanco].scr
Visual Studio.NET.FULL.rar[espacios en blanco].exe
WinAmp 5 Crack.exe
Windows Longhorn BETA.iso[espacios en blanco].exe
Windows XP crack.zip[espacios en blanco].exe
Windows XP Pro SP2.pif
WinRAR.exe
Young teen gets reamed.mpg[espacios en blanco].pif
Para autoejecutarse en cada reinicio de Windows, crea la
siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System Database administration =
c:\windows\system32\systemDA.exe
El gusano genera varios mutex (marcadores en memoria), para
evitar ejecutarse mas de una vez al mismo tiempo o para evitar
se ejecuten otros códigos.
Para propagarse por correo electrónico, el gusano extrae los
contactos a los que se enviará, de la libreta de direcciones
de Windows, y evita enviarse a aquellos que contengan en su
nombre alguna de las siguientes cadenas:
@avp
@fsecure
@gmai
@hotmail
@microsoft
@mm
@msn
@noreply
@norman
@norton
@panda
@sopho
@symantec
@vir
@virusli
Para enviarse sus mensajes infectados, utiliza su propio motor
SMTP.
Examina si el equipo infectado se encuentra conectado a
Internet, accediendo al sitio "www.kazaa.com";.
Si el "Administrador de tareas" se encontrara abierto, el
gusano lo cierra.
También modifica el archivo HOSTS de Windows, para evitar que
el usuario pueda navegar por los siguientes sitios:
ca .com
google .ca
google .com
liveupdate .symantec .com
mcafee .com
microsoft .com
nai .com
norton .com
rohitab .com
securityresponse .symantec .com
windowsupdate .com
www .ca .com
www .google .ca
www .google .com
www .mcafee .com
www .microsoft .com
www .nai .com
www .norton .com
www .rohitab .com
www .sophos .com
www .windowsupdate .com
www .yahoo .com
yahoo .com
Intenta finalizar la ejecución de los siguientes procesos,
relacionados con antivirus y aplicaciones de seguridad:
agentsvr.exe
anti-trojan.exe
antivirus.exe
ants.exe
apimonitor.exe
aplica32.exe
apvxdwin.exe
atcon.exe
atguard.exe
atro55en.exe
atupdater.exe
atwatch.exe
au.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avgserv9.exe
avltmain.exe
avprotect9x.exe
avpupd.exe
avserve2.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bd_professional.exe
bidef.exe
bidserver.exe
bipcp.exe
bipcpevalsetup.exe
bisp.exe
blackd.exe
blackice.exe
bootwarn.exe
borg2.exe
bs120.exe
ccapp.exe
cdp.exe
cfgwiz.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
clean.exe
cleaner.exe
cleaner3.exe
cleanpc.exe
cmgrdian.exe
cmon016.exe
cpd.exe
cpf9x206.exe
cpfnt206.exe
cv.exe
cwnb181.exe
cwntdwmo.exe
d3dupdate.exe
defwatch.exe
deputy.exe
dpf.exe
dpfsetup.exe
drwatson.exe
drwebupw.exe
ent.exe
escanh95.exe
escanhnt.exe
escanv95.exe
exantivirus-cnet.exe
fast.exe
firewall.exe
flowprotector.exe
fp-win_trial.exe
frw.exe
fsav.exe
fsav530stbyb.exe
fsav530wtbyb.exe
fsav95.exe
gbmenu.exe
gbpoll.exe
guard.exe
hacktracersetup.exe
htlog.exe
hwpe.exe
iamapp.exe
iamserv.exe
icload95.exe
icloadnt.exe
icmon.exe
icssuppnt.exe
icsupp95.exe
icsuppnt.exe
ifw2000.exe
iparmor.exe
iris.exe
jammer.exe
kavlite40eng.exe
kavpers40eng.exe
kerio-pf-213-en-win.exe
kerio-wrl-421-en-win.exe
kerio-wrp-421-en-win.exe
killprocesssetup161.exe
ldpro.exe
localnet.exe
lockdown.exe
lockdown2000.exe
lsetup.exe
luall.exe
lucomserver.exe
luinit.exe
mcagent.exe
mcupdate.exe
mfw2en.exe
mfweng3.02d30.exe
mgui.exe
minilog.exe
moolive.exe
mrflux.exe
msconfig.exe
msinfo32.exe
mssmmc32.exe
mu0311ad.exe
nav80try.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ncinst4.exe
ndd32.exe
neomonitor.exe
netarmor.exe
netinfo.exe
netmon.exe
netscanpro.exe
netspyhunter-1.2.exe
netstat.exe
nisserv.exe
nisum.exe
nmain.exe
norton_internet_secu_3.0_407.exe
npf40_tw_98_nt_me_2k.exe
npfmessenger.exe
nprotect.exe
nsched32.exe
ntvdm.exe
nupgrade.exe
nvarch16.exe
nwinst4.exe
nwtool16.exe
ostronet.exe
outpost.exe
outpostinstall.exe
outpostproinstall.exe
padmin.exe
panixk.exe
pavproxy.exe
pcc2002s902.exe
pcc2k_76_1436.exe
pcciomon.exe
pcdsetup.exe
pcfwallicon.exe
pcip10117_0.exe
pdsetup.exe
periscope.exe
persfw.exe
pf2.exe
pfwadmin.exe
pingscan.exe
platin.exe
poproxy.exe
popscan.exe
portdetective.exe
ppinupdt.exe
pptbc.exe
ppvstop.exe
procexplorerv1.0.exe
proport.exe
protectx.exe
pspf.exe
purge.exe
pview95.exe
qconsole.exe
qserver.exe
rav8win32eng.exe
rescue.exe
rescue32.exe
rrguard.exe
rshell.exe
rtvscn95.exe
rulaunch.exe
safeweb.exe
sbserv.exe
sd.exe
setup_flowprotector_us.exe
setupvameeval.exe
sfc.exe
sgssfw32.exe
shellspyinstall.exe
shn.exe
smc.exe
sofi.exe
spf.exe
sphinx.exe
spyxx.exe
ss3edit.exe
st2.exe
supftrl.exe
supporter5.exe
symproxysvc.exe
sysedit.exe
taskmon.exe
taumon.exe
tauscan.exe
tc.exe
tca.exe
tcm.exe
tds2-98.exe
tds2-nt.exe
tds-3.exe
tfak5.exe
tgbob.exe
titanin.exe
titaninxp.exe
tracert.exe
trjscan.exe
trjsetup.exe
trojantrap3.exe
undoboot.exe
update.exe
vbcmserv.exe
vbcons.exe
vbust.exe
vbwin9x.exe
vbwinntw.exe
vcsetup.exe
vfsetup.exe
virusmdpersonalfirewall.exe
vnlan300.exe
vnpc3000.exe
vpc42.exe
vpfw30s.exe
vptray.exe
vscenu6.02d30.exe
vsecomr.exe
vshwin32.exe
vsisetup.exe
vsmain.exe
vsmon.exe
vsstat.exe
vswin9xe.exe
vswinntse.exe
vswinperse.exe
w32dsm89.exe
w9x.exe
watchdog.exe
webscanx.exe
wgfe95.exe
whoswatchingme.exe
winrecon.exe
wnt.exe
wradmin.exe
wrctrl.exe
wsbgate.exe
wyvernworksfirewall.exe
xpf202en.exe
zapro.exe
zapsetup3001.exe
zatutor.exe
zauinst.exe
zonalm2601.exe
zonealarm.exe
* Reparación manual
IMPORTANTE: Note que estas instrucciones de limpieza se dan
únicamente como una guía de referencia, ya que la recuperación
de los archivos borrados, dependerá del daño causado por el
gusano desde el momento de ocurrida la infección, hasta el
momento de su detección.
* Deshabilitar las carpetas compartidas de programas P2P
Es necesario deshabilitar la opción que permite compartir
archivos del o los programas P2P instalados en su computadora,
o podría fallar la limpieza del sistema.
Para ello, siga las instrucciones del siguiente artículo:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
System Database administration
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que
modifique el archivo HOSTS para protegerlo de ciertos
parásitos, vuelva a ejecutar ese programa para actualizar el
archivo HOSTS con dicha información.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Bloored.A. Infecta todos los ejecutables de C:
_____________________________________________________________
http://www.vsantivirus.com/bloored-a.htm
Nombre: W32/Bloored.A
Nombre NOD32: Win32/Bloored.A
Tipo: Gusano de Internet
Alias: Bloored.A, Derdero.A, Win32/Bloored.A, Win32/Derdero.A,
W32/Derdero@mm, I.worm.derdero@mm, W32.Derdero.A@mm,
PE_DERDERO.A, Email-Worm.Win32.Bloored.a, W32.Derdero@mm,
Win32.HLLP.Dermedo, Trojan.Revell.110
Fecha: 18/feb/05
Plataforma: Windows 32-bit
Tamaño: 270,336 bytes
Última modificación: 20/feb/04
Nombre anterior: W32/Derdero.A
Este gusano se propaga por correo electrónico y redes P2P.
Utiliza su propio motor SMTP para enviarse a todos los
contactos de la libreta de direcciones de Windows.
También puede infectar todos los archivos ejecutables .EXE en
la unidad C:
El mensaje que utiliza posee las siguientes características:
De: [dirección falsa] o una de las siguientes
server
administration
management
service
userhelp
Asunto: [uno de los siguientes]
AHKER.C Alert
Detailed Information
Malware Avoidance tips
New Worm Alert
Server Error
URGENT PLEASE READ!
Urgent Update!
User Information
Texto del mensaje: [uno de los siguientes]
Your Email account information has been removed
from the system due to inactivity.
To renew your account information
refer to the attachment
We regret to inform you that your account has
been hijacked and used for illegal purposes.
The attachment has more information about what has
happened.
Our Email system has received reports of your
account flooding email servers.
There is more information on this matter
in the attachment
Due to recent internet attacks,
your Email account security is being upgraded.
The attachment contains more details
Our server is experiencing some latency
in our email service. The attachment contains
details on how your account will be affected.
A new worm is circulating around.
To protect yourself, read the attached document
Please run the urgent patch attached to
protect yourself from a new worm
As a service to our users, we have attached
a note on avoiding malware.
Datos adjuntos: [alguno de los siguientes]
Account_Information.???
Details.???
Gift.???
Information.???
Malware_prevention_tips.???
Patch.???
Update.???
Word_Document.???
Donde ".???" es alguna de las siguientes extensiones:
.bmp.cmd
.cmd
.doc.pif
.exe
.pif
.scr
.txt.exe
.zip
Si el adjunto es un .ZIP, su contenido es una copia del gusano
con una de las extensiones anteriores.
En ocasiones, el .ZIP puede contener otro archivo .ZIP, el
cuál si contiene al ejecutable del virus.
Cuando un adjunto, o un archivo infectado descargado de redes
P2P es ejecutado, el gusano muestra una ventana de error falsa
con el siguiente mensaje:
Error
Runtime error "4": String out of bounds
[ OK ]
El gusano crea los siguientes archivos en el equipo infectado:
c:\windows\bloodred.zip
c:\windows\system32\detroit.txt
c:\windows\system32\exe64.sys
c:\windows\system32\sysheal.exe
c:\windows\system32\thunk32.exe
c:\windows\system32\zip64.sys
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32"
pueden variar de acuerdo al sistema operativo instalado
("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
También crea dos archivos con nombres en blanco y las
siguientes extensiones en la misma carpeta desde donde haya
sido ejecutado:
.exe
.pif
El gusano infecta todos los archivos cuya extensión sea .EXE,
en todos los directorios de la unidad C:
Para propagarse por redes de intercambio de archivos, intenta
crear los siguientes en aquellas carpetas cuyo nombre contenga
la cadena SHAR (esto incluye las carpetas compartidas por
defecto por la mayoría de las aplicaciones P2P):
Adobe Photoshop 6 Full Version.exe
Battlefield 1942.exe
Britney spears naked Playboy.jpeg[espacios en blanco].pif
DVD Copier.exe
Hot Teen Porn.mpeg[espacios en blanco].exe
Internet Explorer 7.exe
jenna jameson screensver.scr
Kazaa Lite 2005 Edition.zip[espacios en blanco].pif
Nero ACID new cd burning and p2p.exe
NETSKY SOURCE CODE.zip[espacios en blanco].exe
Norton AntiVirus 2006 BETA.exe
Snood new version.exe
Tits.mpeg[espacios en blanco].scr
Visual Studio.NET.FULL.rar[espacios en blanco].exe
WinAmp 5 Crack.exe
Windows Longhorn BETA.iso[espacios en blanco].exe
Windows XP crack.zip[espacios en blanco].exe
Windows XP Pro SP2.pif
WinRAR.exe
Young teen gets reamed.mpg[espacios en blanco].pif
Para autoejecutarse en cada reinicio de Windows, crea la
siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
32-bit Thunking service = c:\windows\system32\thunk32.exe
El gusano genera varios mutex (marcadores en memoria), para
evitar ejecutarse mas de una vez al mismo tiempo o para evitar
se ejecuten otros códigos.
Para propagarse por correo electrónico, el gusano extrae los
contactos a los que se enviará, de la libreta de direcciones
de Windows, y evita enviarse a aquellos que contengan en su
nombre alguna de las siguientes cadenas:
@avp
@fsecure
@hotmail
@microsoft
@mm
@msn
@noreply
@norman
@norton
@panda
@sopho
@symantec
@virusli
Para enviarse sus mensajes infectados, utiliza su propio motor
SMTP.
Examina si el equipo infectado se encuentra conectado a
Internet, accediendo al sitio "www.kazaa.com";.
Si el "Administrador de tareas" se encontrara abierto, el
gusano lo cierra.
También modifica el archivo HOSTS de Windows, para evitar que
el usuario pueda navegar por los siguientes sitios:
ca .com
google .com
liveupdate .symantec .com
mcafee .com
microsoft .com
nai .com
norton .com
windowsupdate .com
www .ca .com
www .google .com
www .mcafee .com
www .microsoft .com
www .nai .com
www .norton .com
www .sophos .com
www .windowsupdate .com
www .yahoo .com
yahoo .com
Intenta finalizar la ejecución de los siguientes procesos,
relacionados con antivirus y aplicaciones de seguridad:
agentsvr.exe
anti-trojan.exe
antivirus.exe
ants.exe
apimonitor.exe
aplica32.exe
apvxdwin.exe
atcon.exe
atguard.exe
atro55en.exe
atupdater.exe
atwatch.exe
au.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avgserv9.exe
avltmain.exe
avprotect9x.exe
avpupd.exe
avserve2.exe
avsynmgr.exe
avwupd32.exe
avxquar.exe
bd_professional.exe
bidef.exe
bidserver.exe
bipcp.exe
bipcpevalsetup.exe
bisp.exe
blackd.exe
blackice.exe
bootwarn.exe
borg2.exe
bs120.exe
ccapp.exe
cdp.exe
cfgwiz.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
clean.exe
cleaner.exe
cleaner3.exe
cleanpc.exe
cmgrdian.exe
cmon016.exe
cpd.exe
cpf9x206.exe
cpfnt206.exe
cv.exe
cwnb181.exe
cwntdwmo.exe
d3dupdate.exe
defwatch.exe
deputy.exe
dpf.exe
dpfsetup.exe
drwatson.exe
drwebupw.exe
ent.exe
escanh95.exe
escanhnt.exe
escanv95.exe
exantivirus-cnet.exe
fast.exe
firewall.exe
flowprotector.exe
fp-win_trial.exe
frw.exe
fsav.exe
fsav530stbyb.exe
fsav530wtbyb.exe
fsav95.exe
gbmenu.exe
gbpoll.exe
guard.exe
hacktracersetup.exe
htlog.exe
hwpe.exe
iamapp.exe
iamserv.exe
icload95.exe
icloadnt.exe
icmon.exe
icssuppnt.exe
icsupp95.exe
icsuppnt.exe
ifw2000.exe
iparmor.exe
iris.exe
jammer.exe
kavlite40eng.exe
kavpers40eng.exe
kerio-pf-213-en-win.exe
kerio-wrl-421-en-win.exe
kerio-wrp-421-en-win.exe
killprocesssetup161.exe
ldpro.exe
localnet.exe
lockdown.exe
lockdown2000.exe
lsetup.exe
luall.exe
lucomserver.exe
luinit.exe
mcagent.exe
mcupdate.exe
mfw2en.exe
mfweng3.02d30.exe
mgui.exe
minilog.exe
moolive.exe
mrflux.exe
msconfig.exe
msinfo32.exe
mssmmc32.exe
mu0311ad.exe
nav80try.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ncinst4.exe
ndd32.exe
neomonitor.exe
netarmor.exe
netinfo.exe
netmon.exe
netscanpro.exe
netspyhunter-1.2.exe
netstat.exe
nisserv.exe
nisum.exe
nmain.exe
norton_internet_secu_3.0_407.exe
npf40_tw_98_nt_me_2k.exe
npfmessenger.exe
nprotect.exe
nsched32.exe
ntvdm.exe
nupgrade.exe
nvarch16.exe
nwinst4.exe
nwtool16.exe
ostronet.exe
outpost.exe
outpostinstall.exe
outpostproinstall.exe
padmin.exe
panixk.exe
pavproxy.exe
pcc2002s902.exe
pcc2k_76_1436.exe
pcciomon.exe
pcdsetup.exe
pcfwallicon.exe
pcip10117_0.exe
pdsetup.exe
periscope.exe
persfw.exe
pf2.exe
pfwadmin.exe
pingscan.exe
platin.exe
poproxy.exe
popscan.exe
portdetective.exe
ppinupdt.exe
pptbc.exe
ppvstop.exe
procexplorerv1.0.exe
proport.exe
protectx.exe
pspf.exe
purge.exe
pview95.exe
qconsole.exe
qserver.exe
rav8win32eng.exe
rescue.exe
rescue32.exe
rrguard.exe
rshell.exe
rtvscn95.exe
rulaunch.exe
safeweb.exe
sbserv.exe
sd.exe
setup_flowprotector_us.exe
setupvameeval.exe
sfc.exe
sgssfw32.exe
shellspyinstall.exe
shn.exe
smc.exe
sofi.exe
spf.exe
sphinx.exe
spyxx.exe
ss3edit.exe
st2.exe
supftrl.exe
supporter5.exe
symproxysvc.exe
sysedit.exe
taskmon.exe
taumon.exe
tauscan.exe
tc.exe
tca.exe
tcm.exe
tds2-98.exe
tds2-nt.exe
tds-3.exe
tfak5.exe
tgbob.exe
titanin.exe
titaninxp.exe
tracert.exe
trjscan.exe
trjsetup.exe
trojantrap3.exe
undoboot.exe
update.exe
vbcmserv.exe
vbcons.exe
vbust.exe
vbwin9x.exe
vbwinntw.exe
vcsetup.exe
vfsetup.exe
virusmdpersonalfirewall.exe
vnlan300.exe
vnpc3000.exe
vpc42.exe
vpfw30s.exe
vptray.exe
vscenu6.02d30.exe
vsecomr.exe
vshwin32.exe
vsisetup.exe
vsmain.exe
vsmon.exe
vsstat.exe
vswin9xe.exe
vswinntse.exe
vswinperse.exe
w32dsm89.exe
w9x.exe
watchdog.exe
webscanx.exe
wgfe95.exe
whoswatchingme.exe
winrecon.exe
wnt.exe
wradmin.exe
wrctrl.exe
wsbgate.exe
wyvernworksfirewall.exe
xpf202en.exe
zapro.exe
zapsetup3001.exe
zatutor.exe
zauinst.exe
zonalm2601.exe
zonealarm.exe
* Reparación manual
IMPORTANTE: Note que estas instrucciones de limpieza se dan
únicamente como una guía de referencia, ya que la recuperación
de los archivos borrados, dependerá del daño causado por el
gusano desde el momento de ocurrida la infección, hasta el
momento de su detección.
* Deshabilitar las carpetas compartidas de programas P2P
Es necesario deshabilitar la opción que permite compartir
archivos del o los programas P2P instalados en su computadora,
o podría fallar la limpieza del sistema.
Para ello, siga las instrucciones del siguiente artículo:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
32-bit Thunking service
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que
modifique el archivo HOSTS para protegerlo de ciertos
parásitos, vuelva a ejecutar ese programa para actualizar el
archivo HOSTS con dicha información.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
* Actualizaciones:
19/02/05 - 18:12 -0200 (Alias: Email-Worm.Win32.Bloored.a)
19/02/05 - 18:12 -0200 (Alias: W32.Derdero@mm)
19/02/05 - 18:12 -0200 (Alias: Win32.HLLP.Dermedo)
19/02/05 - 18:12 -0200 (Alias: Trojan.Revell.110)
19/02/05 - 19:04 -0200 (Alias: Win32/Bloored.A)
19/02/05 - 19:04 -0200 (Nombre NOD32)
20/02/05 - 04:56 -0200 (Cambio de nombre a W32/Bloored.A)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Exir.C. Se propaga por MSN Messenger
_____________________________________________________________
http://www.vsantivirus.com/exir-c.htm
Nombre: W32/Exir.C
Nombre NOD32: Win32/Exir.C
Tipo: Gusano de Internet
Alias: Exir.C, Bropia.G, NewHeur_PE, BackDoor-COD,
IM-Worm.Win32.Bropia.g, Troj/Manacle-A, W32.Bropia.N,
W32/Bropia.I, W32/Bropia.O.worm, Win32.Worm.Bropia.O,
Win32/Bropia.I.worm, Win32/Exir.C, Worm.Bropia.G,
Worm/Bropia.G.1, WORM_BROPIA.O, WORM_BROPIA.R
Fecha: 16/feb/05
Plataforma: Windows 32-bit
Tamaño: 160,256 bytes
Última modificación: 20/feb/05
Nombre anterior: W32/Bropia.G
Gusano detectado el 16 de febrero de 2005, que se propaga por
el MSN Messenger de Microsoft, además de descargar e instalar
una variante de la familia de los BOT.
También puede propagarse a través del Windows Messenger.
Utiliza enlaces con nombres atractivos, para favorecer su
propagación.
Puede presentarse en un archivo .PIF con el nombre de
"handcuffs.pif". Handcuffs es "esposas" en inglés, y su nombre
hace referencia a la imagen en formato JPG que crea el gusano
al ejecutarse, la cuál muestra una mujer desnuda esposada.
Cuando se ejecuta, se copia con el siguiente nombre en la
carpeta del sistema de Windows:
c:\windows\system32\winis.exe
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32"
pueden variar de acuerdo al sistema operativo instalado
("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
El troyano BOT crea las siguientes entradas en el registro,
para autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\OLE
[nombre al azar] = winis.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = winis.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
[nombre al azar] = winis.exe
Note que el propio gusano (el recibido vía MSN) no tiene
mecanismos de autoejecución. Solo se propaga a otros usuarios
(contactos) del MSN Messenger y Windows Messenger. El que se
autoejecuta en cada reinicio es el troyano que es liberado por
el gusano si se dan las condiciones mencionadas antes.
Si el troyano BOT no es creado, tampoco se crearán las claves
mencionadas del registro.
El gusano se envía a si mismo a través del MSN Messenger, a
todos los contactos que estén en línea en ese momento. Por lo
tanto, el mecanismo que utiliza requiere que el usuario tenga
una sesión abierta del Messenger para que ello ocurra.
De todos modos, para que la infección se produzca, el usuario
que recibe el archivo, debe aceptarlo y luego ejecutarlo (por
regla general no deben aceptarse archivos no solicitados, sin
importar su procedencia).
El gusano intenta deshabilitar el botón derecho del ratón, la
combinación de teclas CTRL+ALT+SUPR y los archivos CMD.EXE
(Procesador de comandos de Windows) y TASKMGR.EXE
(Administrador de tareas de Windows), los que intenta
sobrescribir.
También modifica el volumen de sonido de Windows al mínimo.
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\OLE
3. Haga clic en la carpeta "OLE" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
[nombre al azar] = winis.exe
4. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
[nombre al azar] = winis.exe
6. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la siguiente
entrada:
[nombre al azar] = winis.exe
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
* Actualizaciones:
20/02/05 - 05:56 -0200 (Nombre NOD32: Win32/Exir.C)
20/02/05 - 05:56 -0200 (Alias: BackDoor-COD)
20/02/05 - 05:56 -0200 (Alias: Troj/Manacle-A)
20/02/05 - 05:56 -0200 (Alias: W32.Bropia.N)
20/02/05 - 05:56 -0200 (Alias: W32/Bropia.I
20/02/05 - 05:56 -0200 (Alias: W32/Bropia.O.worm)
20/02/05 - 05:56 -0200 (Alias: Win32.Worm.Bropia.O)
20/02/05 - 05:56 -0200 (Alias: Win32/Bropia.I.worm)
20/02/05 - 05:56 -0200 (Alias: Win32/Exir.C)
20/02/05 - 05:56 -0200 (Alias: Worm.Bropia.G)
20/02/05 - 05:56 -0200 (Alias: Worm/Bropia.G.1)
20/02/05 - 05:56 -0200 (Alias: WORM_BROPIA.R)
20/02/05 - 05:56 -0200 (Cambio nombre por W32/Exir.C)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/VB.NBL. Se propaga por MSN Messenger
_____________________________________________________________
http://www.vsantivirus.com/vb-nbl.htm
Nombre: W32/VB.NBL
Nombre NOD32: Win32/VB.NBL
Tipo: Gusano de Internet
Alias: VB.NBL, Bropia.F, IM-Worm.Win32.Bropia.f,
IM-Worm.Win32.VB.g, NewHeur_PE, W32.Bropia.M, W32/Bropia.G,
W32/Bropia.J.worm, W32/Bropia.K.worm, W32/Bropia.worm.gen,
W32/Bropia.worm.p, W32/Bropia-M, W32/Velkdis.A,
Win32.HLLW.Bropia, Win32.HLLW.Generic.109,
Win32.Worm.Bropia.M, Win32/VB.NBL, Worm.Bropia.F,
Worm.Bropia.M, Worm/Ahker.C, Worm/Bropia.A, Worm/Bropia.F,
Worm/VB.3.BD, WORM_BROPIA.M, WORM_BROPIA.N
Fecha: 15/feb/05
Plataforma: Windows 32-bit
Última modificación: 20/feb/05
Nombre anterior: W32/Bropia.F
Gusano detectado el 15 de febrero de 2005, que se propaga por
el MSN Messenger de Microsoft, además de descargar e instalar
una variante de la familia de los BOT.
También puede propagarse a través del Windows Messenger.
Cuando se ejecuta, se copia con un nombre al azar en la
carpeta del sistema de Windows:
c:\windows\system32\[nombre].exe
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32"
pueden variar de acuerdo al sistema operativo instalado
("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
El troyano BOT crea las siguientes entradas en el registro,
para autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\OLE
NvMsnW = [nombre al azar]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NvMsnW = [nombre al azar]
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
NvMsnW = [nombre al azar]
Note que el propio gusano (el recibido vía MSN) no tiene
mecanismos de autoejecución. Solo se propaga a otros usuarios
(contactos) del MSN Messenger y Windows Messenger. El que se
autoejecuta en cada reinicio es el troyano que es liberado por
el gusano si se dan las condiciones mencionadas antes.
Si el troyano BOT no es creado, tampoco se crearán las claves
mencionadas del registro.
El gusano propiamente dicho, se copia a si mismo en el raíz
del disco C:\ con alguno de los siguientes nombres:
Beautiful Ass.pif
Isass.exe
John Kerry as Super Chicken.scr
Kool.pif
Me & you pic!.pif
Me Pissed!.pif
sexy.pif
She Could Fit her Ass in a Teacup.pif
she's fuckin fit.pif
titanic2.jpg.pif
Para propagarse, se envía a si mismo a través del MSN
Messenger, a todos los contactos que estén en línea en ese
momento. Por lo tanto, el mecanismo que utiliza requiere que
el usuario tenga una sesión abierta del Messenger para que
ello ocurra.
De todos modos, para que la infección se produzca, el usuario
que recibe el archivo, debe aceptarlo y luego ejecutarlo (por
regla general no deben aceptarse archivos no solicitados, sin
importar su procedencia).
El gusano intenta deshabilitar el botón derecho del ratón, la
combinación de teclas CTRL+ALT+SUPR y los archivos CMD.EXE
(Procesador de comandos de Windows) y TASKMGR.EXE
(Administrador de tareas de Windows), los que intenta
sobrescribir.
También modifica el volumen de sonido de Windows al mínimo.
* Reparación manual
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\OLE
3. Haga clic en la carpeta "OLE" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
NvMsnW = [nombre al azar]
4. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente entrada:
NvMsnW = [nombre al azar]
6. En el panel izquierdo del editor, haga clic en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la siguiente
entrada:
NvMsnW = [nombre al azar]
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
* Actualizaciones:
20/02/05 - 06:07 -0200 (Nombre NOD32: Win32/VB.NBL)
20/02/05 - 06:07 -0200 (Alias: IM-Worm.Win32.VB.g)
20/02/05 - 06:07 -0200 (Alias: W32.Bropia.M)
20/02/05 - 06:07 -0200 (Alias: W32/Bropia.G)
20/02/05 - 06:07 -0200 (Alias: W32/Bropia.K.worm)
20/02/05 - 06:07 -0200 (Alias: W32/Bropia.worm.gen)
20/02/05 - 06:07 -0200 (Alias: W32/Bropia.worm.p)
20/02/05 - 06:07 -0200 (Alias: W32/Velkdis.A)
20/02/05 - 06:07 -0200 (Alias: Win32.HLLW.Bropia)
20/02/05 - 06:07 -0200 (Alias: Win32.HLLW.Generic.109)
20/02/05 - 06:07 -0200 (Alias: Win32/VB.NBL)
20/02/05 - 06:07 -0200 (Alias: Worm.Bropia.F)
20/02/05 - 06:07 -0200 (Alias: Worm.Bropia.M)
20/02/05 - 06:07 -0200 (Alias: Worm/Ahker.C)
20/02/05 - 06:07 -0200 (Alias: Worm/Bropia.F)
20/02/05 - 06:07 -0200 (Alias: Worm/VB.3.BD)
20/02/05 - 06:07 -0200 (Alias: WORM_BROPIA.M)
20/02/05 - 05:56 -0200 (Cambio nombre por W32/VB.NBL)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados, simplemente
ejecutamos esos antivirus en su opción de escaneo, sobre la
carpeta que contenga los archivos a revisar). Y por supuesto,
de nada vale usar algún antivirus si no lo mantenemos
actualizado con los upgrades, updates o add-ons
correspondientes. Actualmente, las actualizaciones de la
mayoría de los fabricantes son diarias. No existen los "virus
demasiados nuevos y sin antídotos", la reacción de las casas
de antivirus es inmediata en todos los casos. Pero mejor
pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga referencias
de seriedad, o que no sean medianamente conocidos. Y si se
bajan archivos, proceder como los archivos adjuntos. Copiarlos
a una carpeta y revisarlos con dos o tres antivirus
actualizados antes de optar por ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos el
permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo a
la política de Copyright adoptada por cada uno de ellos, y su
inclusión en nuestro boletín se rige por dichas políticas, sin
embargo, para su uso en otro medio, se deberá solicitar la
debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.videosoft.net.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 1689 Año 9, domingo 20 de febrero de 2005
|
VSantivirus No. 16
Responder a este mensaje
