|
Mostrando mensaje 763
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1713 Año 9, miércoles 16 de marzo de 2005 | | Fecha: | Miercoles, 16 de Marzo, 2005 08:18:26 (-0200) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1713 Año 9, miércoles 16 de marzo de 2005
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Sentencia para pirata que atacó a MSN TV
2 - BitDefender aclara problema con GFI
3 - Java.IstBar. Applet de Java que descarga malware
4 - Troj/StartPage.IX. Cambia página de Inicio y búsqueda
_____________________________________________________________
1 - Sentencia para pirata que atacó a MSN TV
_____________________________________________________________
http://www.vsantivirus.com/16-03-05.htm
Sentencia para pirata que atacó a MSN TV
Por Angela Ruiz
angela@videosoft.net.uy
En julio de 2002 (ver "Su computadora está llamando al 911!
¿Hoax?", http://www.vsantivirus.com/malware-911.htm),
Microsoft denunció que algunos usuarios de su servicio MSN TV
habían descargado un programa malicioso (adjunto a un correo
electrónico) que provocaba que sus equipos se apagaran, y al
reiniciarse cambiaban su configuración de acceso telefónico,
haciendo que intentaran conectarse al 911, el teléfono usado
para recibir emergencias en los Estados Unidos y en la mayoría
de los países.
El mensaje con el troyano enviado, simulaba ser un parche del
propio Microsoft.
Casi tres años después, febrero de 2005, una corte de los
Estados Unidos, ha dictado sentencia contra un hombre de
Louisiana, dándole seis meses de prisión después de
encontrarlo culpable de la infección a los usuarios de MSN TV,
antes llamado WebTV.
David Jeansonne de 41 años, oriundo de Metairie en el estado
de Louisiana, fue acusado a finales del pasado mes, de causar
una amenaza a la seguridad pública con un troyano que plagaba
a los servicios de emergencia con llamadas telefónicas, y de
causar daños a computadoras.
El juez de distrito Ronal M. Whyte, ordenó que el culpable
debía cumplir su arresto de seis meses en su propio domicilio,
además de tener que pagar a Microsoft más de 27 mil dólares
por los daños causados.
WebTV fue comprado en 1987 por Microsoft, y es un servicio que
proporciona correo electrónico y la posibilidad de navegar por
Internet desde la pantalla del televisor. En 2001 pasa a
llamarse MSN TV.
Este servicio no está incluido en las versiones del Internet
Explorer y de Windows que han sido distribuidas fuera de los
Estados Unidos.
El troyano desarrollado por Jeansonne, modificaba además los
colores visualizados en las pantallas de los televisores de
los usuarios infectados, además de hacer que sus computadoras
intentaran llamar al 911.
En el momento del ataque, al menos 20 usuarios denunciaron
haber recibido dicho correo electrónico, y 10 reportaron que
la policía local concurrió a sus casas en respuesta a la
llamada de emergencia.
Al dictar sentencia, el juez dijo al acusado que realizar
llamadas falsas a la policía es una acción muy peligrosa e
irresponsable, que podría haber llegado a causar daño a la
vida de cientos de personas inocentes. Además, mencionó que
escribir un programa que automáticamente cause este tipo de
confusión, demuestra un comportamiento infantil.
* Relacionados:
Su computadora está llamando al 911! ¿Hoax?
http://www.vsantivirus.com/malware-911.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - BitDefender aclara problema con GFI
_____________________________________________________________
http://www.vsantivirus.com/dt15-03-05.htm
BitDefender aclara problema con GFI
Fuente: diarioti.com (*)
http://www.diarioti.com/
BitDefender, la División de Seguridad de Datos de SOFTWIN,
presenta su punto de vista oficial sobre los problemas
recientes que ocurrieron durante el proceso de integración de
las tecnologías BitDefender en los productos GFI.
El fabricante de GFI MailSecurity anunció un problema que
ocurrió como consecuencia de la actualización del producto GFI
MailSecurity (producto que analiza la seguridad de los
mensajes de correo electrónico, utilizado principalmente por
organizaciones); e integra tanto tecnologías de BitDefender
como tecnologías de otras compañías antivirus. Después de la
actualización, todos los mensajes entrantes han sido
interpretados por GFI MailSecurity como archivos de tipo .zip
corrompidos, y borrados.
Después de un análisis completo, los técnicos de los
Laboratorios BitDefender llegaron a la conclusión que la
eliminación de los mensajes ocurrió como consecuencia de la
interfaz de integración de los motores de análisis BitDefender
en los productos GFI, una interfaz que no ha sido diseñada por
los especialistas de BitDefender. Hasta que una solución
exista para el problema reportado, la actualización ha sido
retirada de los servidores de GFI.
A diferencia de los otros productos para seguridad que
integran las tecnologías BitDefender, como los de Buhldata,
una compañía alemana, o Hauri, una compañía coreana, este
incidente afectó solamente la integración de BitDefender en
GFI. Los usuarios de los otros productos que integran la
tecnología BitDefender - así como los usuarios de los
productos BitDefender no han sido afectados en absoluto. Es
importante mencionar que este, es el primer y el único
incidente de este tipo durante tres años de cooperación con
GFI.
"Este es un incidente lamentable, que fuimos capaces de
remediar en un período corto de tiempo gracias a la
cooperación entre nuestros especialistas. Es un incidente
único hasta ahora, y para no repetirse, hemos ya puesto en
practica un procedimiento de pruebas unitarias para todos
nuestros socios que emplean las tecnologías BitDefender"
declaró en un comunicado de prensa Daniel Ionescu, BitDefender
CEO.
* Relacionados:
Actualización de antivirus borra millares de mensajes
http://www.vsantivirus.com/06-03-05.htm
(*) Este artículo fue publicado originalmente en DiarioTI, y
se reproduce en VSAntivirus respetando las condiciones legales
exigidas por dicha publicación:
http://www.diarioti.com/gate/legal.php
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Java.IstBar. Applet de Java que descarga malware
_____________________________________________________________
http://www.vsantivirus.com/java-istbar.htm
Nombre: Java.IstBar
Nombre NOD32: Java.IstBar
Tipo: Caballo de Troya
Alias: IstBar, Exploit-ByteVerify, Java.IstBar,
Java.Trojan.Downloader.OpenStream.T, Java/OpenStream,
Java/OpenStream.t, Java/Openstream.T, JAVA_OPENSTR.A,
Openstream.T, Spyware/ISTbar, Troj/Openstr-A,
Trojan.ByteVerify, Trojan.DownLoader.1647,
Trojan.Downloader.Java.Openstream.T,
Trojan-Downloader.Java.OpenStream.t,
TrojanDownloader:Java/OpenStream.I, VBS:Malware
Fecha: 11/ago/04
Plataforma: Windows 32-bit
Tamaño: varios
Java.IstBar es un caballo de Troya que descarga otros malwares
(generalmente adwares, spywares, u otros troyanos que a su vez
pueden descargar otros parásitos), basado en un applet de
Java.
Se presenta en un archivo firmado, en formato JAR (clásico de
Java), y solo puede ser descargado y activado por usuarios que
utilicen un navegador que soporte Java. Esto incluye la
mayoría de los navegadores conocidos, incluido Internet
Explorer, Firefox, Mozilla, Opera, Netscape, etc.
Cuando se produce la descarga del applet, un mensaje de
advertencia se le presenta al usuario, preguntándole si desea
aceptar como segura la aplicación, ya que la autenticidad del
emisor, y por lo tanto del certificado de seguridad, no puede
ser verificada.
Si el usuario responde NO, el troyano no se ejecuta.
Si responde SI, el troyano se instalará y descargará otros
malwares.
Posiblemente también se pueda ejecutar en otros sistemas
operativos, pero como descarga un archivo ejecutable en
formato Win32, no realiza en ese caso ninguna acción
maliciosa.
Aunque detectado desde agosto de 2004, se ha informado
recientemente (marzo 2005) de un aumento de incidencias en
navegadores supuestamente "a salvo" de los spywares y otros
códigos similares, como se explica en el siguiente artículo:
"Spyware que infecta al Internet Explorer y al Firefox",
http://www.vsantivirus.com/12-03-05.htm
El malware no se instala automáticamente, pero en ciertos
casos las ventanas generadas pueden confundir a un usuario
común, y obligarlo a responder afirmativamente a la pregunta
realizada. Se sabe de algún caso en que se ha utilizado
vulnerabilidades del navegador involucrado para perfeccionar
el engaño.
El código puede estar disfrazado como algún tipo de protección
anti-spyware ofrecida en algunos sitios maliciosos.
* Cómo protegernos de los parásitos
¿Qué son los parásitos?. ¿Qué tipos de parásitos existen?.
¿Cómo llegan a nuestra computadora?. ¿Cómo protegernos de
ellos?. Toda la información relacionada la encuentra en el
siguiente artículo:
Parásitos en nuestra computadora
http://www.vsantivirus.com/ev-parasitos.htm
También sugerimos la siguiente configuración para evitar la
descarga y ejecución de esta clase de parásitos:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
* Procedimiento sugerido de limpieza
Esta información se da solo como sugerencia, ya que los
cambios realizados en el sistema dependerán del malware que el
applet de Java haya descargado y ejecutado.
* Antivirus
Para borrar manualmente el parásito, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione "Vaciar
la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica en
el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Procedimiento para restaurar página de inicio y página de
búsqueda en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Haga clic en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Haga clic en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también
la página inicio" y seleccione el botón SI.
7. Haga clic en "Aceptar".
* Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde
Herramientas, Opciones de Internet, General, Página de inicio,
por una de su preferencia (o haga clic en "Página en blanco").
O navegue hacia una página de su agrado, haga clic en
Herramientas, Opciones de Internet, General, y finalmente haga
clic en "Usar actual".
* Cambiar las páginas de búsqueda del Internet Explorer
1. Inicie el Internet Explorer.
2. Haga clic en el botón "Búsqueda" de la barra de
herramientas.
3. En el panel que se despliega (Nuevo, Siguiente,
Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda"
(Use Search Assistant).
5. Haga clic en el botón "Reiniciar" (Reset).
6. Haga clic en el botón "Configuración de Autosearch"
(Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search
Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones.
* Información adicional
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Troj/StartPage.IX. Cambia página de Inicio y búsqueda
_____________________________________________________________
http://www.vsantivirus.com/troj-startpage-ix.htm
Nombre: Troj/StartPage.IX
Nombre NOD32: Win32/StartPage.IX
Tipo: Caballo de Troya
Alias: StartPage.IX, StartPage-DU, Trojan.Win32.StartPage.ix,
Win32.Startpage.FZ, Win32/StartPage.IX
Fecha: 22/jun/04
Plataforma: Windows 32-bit
Tamaño: variable
Startpage es una larga familia de troyanos utilizados para
modificar las principales configuraciones del Internet
Explorer, para que su página de inicio, de búsqueda, y otras
asignadas por defecto, apunten a una dirección o direcciones
predeterminadas.
Generalmente son utilizados por algunos sitios inescrupulosos,
para controlar la visualización de su publicidad. Los cambios
realizados en el sistema, comprometen el rendimiento general
de la navegación.
Cuando se ejecutan, suelen liberar archivos .DLL con nombres
al azar en la carpeta del sistema de Windows:
c:\windows\system32\[nombre al azar].DLL
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema
operativo instalado (con ese nombre por defecto en Windows XP
y Windows Server 2003, como "c:\winnt\system32" en Windows NT
y 2000 y "c:\windows\system" en Windows 9x y ME).
Suele crear una página de búsqueda "hecha a medida", en la
carpeta de archivos temporales de Windows.
\TEMP\sp.html
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp",
"c:\winnt\temp", o "c:\documents and settings\[usuario]\local
settings\temp", de acuerdo al sistema operativo.
Se integra al Internet Explorer como un objeto del tipo BHO
(Browser Helper Object), de modo que sus comunicaciones con el
sitio que lo crea, no son interceptadas por el cortafuegos al
ejecutarse como parte del propio navegador.
Un objeto BHO es un DLL que se adjunta a si mismo a cada nueva
instancia del Internet Explorer, pudiendo ejecutar eventos
predeterminados.
Se identifica en el registro con clases ID como las
siguientes:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{????????-????-????-????-????????????}
HKCR\CLSID
\{????????-????-????-????-????????????}\InProcServer32
(Predeterminado)="c:\windows\system32\[nombre al azar].dll"
HKCR\CLSID
\{????????-????-????-????-????????????}\InProcServer32
ThreadingModel=Apartment
Donde {????????-????-????-????-????????????} es un valor al
azar, similar al siguiente (este es solo un ejemplo, ya que
este valor puede cambiar en cada caso):
{C4B51C1A-A650-4D29-BCF8-5F860AE42DFD}
También se suele instalar a si mismo como un filtro MIME
permanente, con lo que es posible desplegar una página de
inicio que se asemeja a una página en blanco (about:blank).
Para ello modifica las siguientes entradas:
HKCR\PROTOCOLS\Filter\text/html
CLSID={????????-????-????-????-????????????}
HKCR\PROTOCOLS\Filter\text/plain
CLSID={????????-????-????-????-????????????}
Realiza además las siguientes modificaciones para cambiar
otros valores por defecto del sistema:
HKCU\Software\Microsoft\Internet Explorer\Main
HOMEOldSP="about:blank"
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page="about:blank"
HKCU\Software\Microsoft\Internet Explorer\Main
Use Custom Search URL=1
HKCU\Software\Microsoft\Internet Explorer\Main
Use Search Asst="no"
HKLM\Software\Microsoft\Internet Explorer\Main
HOMEOldSP="about:blank"
HKLM\Software\Microsoft\Internet Explorer\Main
Start Page="about:blank"
HKLM\Software\Microsoft\Internet Explorer\Main
Use Custom Search URL=1
HKLM\Software\Microsoft\Internet Explorer\Main
Use Search Asst="no"
Alguna de las siguientes modificaciones también pueden ser
realizadas, dependiendo de la versión del troyano:
HKCU\Software\Microsoft\Internet Explorer\Main
Search Bar=file://TEMP\sp.html
HKCU\Software\Microsoft\Internet Explorer\Main
Search Page=file://TEMP\sp.html
HKCU\Software\Microsoft\Internet Explorer\Search
SearchAssistant=file://TEMP\sp.html
HKLM\Software\Microsoft\Internet Explorer\Main
Search Bar=file://TEMP\sp.html
HKLM\Software\Microsoft\Internet Explorer\Main
Search Page=file://TEMP\sp.html
HKLM\Software\Microsoft\Internet Explorer\Search
SearchAssistant=file://TEMP\sp.html
O también pueden crearse alguna de las siguientes entradas:
HKCU\Software\Microsoft\Internet Explorer\Main
Search Bar="res://%43%3a%5c%57%49%4e%44%4f%57%53
%5c%53%79%73%74%65%6d%33%32%5c%6b%6e%66%6f%62%61
%2e%64%6c%6c/%73%70%2e%68%74%6d%6c"
HKCU\Software\Microsoft\Internet Explorer\Main
Search Page="res://%43%3a%5c%57%49%4e%44%4f%57%53
%5c%53%79%73%74%65%6d%33%32%5c%6b%6e%66%6f%62%61
%2e%64%6c%6c/%73%70%2e%68%74%6d%6c"
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search
SearchAssistant="res://%43%3a%5c%57%49%4e%44%4f%57
%53%5c%53%79%73%74%65%6d%33%32%5c%6b%6e%66%6f%62%61
%2e%64%6c%6c/%73%70%2e%68%74%6d%6c"
HKLM\Software\Microsoft\Internet Explorer\Main
Search Bar="res://%43%3a%5c%57%49%4e%44%4f%57%53%5c
%53%79%73%74%65%6d%33%32%5c%6b%6e%66%6f%62%61%2e%64
%6c%6c/%73%70%2e%68%74%6d%6c"
HKLM\Software\Microsoft\Internet Explorer\Main
Search Page="res://%43%3a%5c%57%49%4e%44%4f%57%53%5c
%53%79%73%74%65%6d%33%32%5c%6b%6e%66%6f%62%61%2e%64
%6c%6c/%73%70%2e%68%74%6d%6c"
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search
SearchAssistant="res://%43%3a%5c%57%49%4e%44%4f%57%53
%5c%53%79%73%74%65%6d%33%32%5c%6b%6e%66%6f%62%61%2e%64
%6c%6c/%73%70%2e%68%74%6d%6c"
En estos casos, el contenido codificado del protocolo res:/ /,
apunta a la ubicación del DLL descargado por el troyano, cuyo
nombre puede variar. Ejemplo:
res://C:\WINDOWS\System32\[nombre al azar].dll/sp.html
El troyano examina el contenido actual del archivo HOSTS del
sistema, para determinar si específicamente algún dominio ha
sido redirigido. El archivo HOSTS (sin extensión alguna), es
usado por Windows para asociar nombres de dominio con
direcciones IP. Si este archivo existe en c:\windows\ (Windows
95, 98 y Me), o en \system32\drivers\etc\ (Windows NT, 2000 y
XP), el sistema lo examina antes de hacer una consulta a un
servidor DNS.
La lista de dominios consultados en el archivo HOSTS, varía en
cada versión del troyano. La siguiente es una lista de los más
conocidos:
ak47.be
count.cc
channels.at
google.com
ieautosearch
look-up.tv
msn.com
netscape.com
refer.cn
searchx.cc
windows-data.info
yahoo.com
Si detecta alguno de esos dominios redireccionados en el
archivo HOSTS, modifica la entrada agregando un caracter de
comentario (#), al comienzo de la correspondiente línea. Luego
modifica los atributos de dicho archivo para que sea de solo
lectura (+R).
Algunas variantes modifican directamente el código del archivo
WININET.DLL de Windows (Extensiones de Internet para Win32),
con la intención de redirigir todas las llamadas que el
sistema realiza a través de ese DLL al API "InternetConnectA"
(utilizado para conexiones a Internet), hacia su propio DLL.
Otras variantes modifican el siguiente valor del registro, con
la intención de mostrar la página propia SP.HTML en la barra
de búsqueda del Internet Explorer:
HKCU\Software\Microsoft\Internet Explorer\Main
Search Bar = res://TEMP\se.dll/sp.html
Otras versiones también liberan el siguiente DLL en la carpeta
TEMP:
\TEMP\se.dll
SE.DLL puede ser reconocido como otra variante de la misma
familia del StartPage.
* Cómo protegernos de los parásitos
¿Qué son los parásitos?. ¿Qué tipos de parásitos existen?.
¿Cómo llegan a nuestra computadora?. ¿Cómo protegernos de
ellos?. Toda la información relacionada la encuentra en el
siguiente artículo:
Parásitos en nuestra computadora
http://www.vsantivirus.com/ev-parasitos.htm
También sugerimos la siguiente configuración para evitar la
descarga y ejecución de esta clase de parásitos:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
* Procedimiento sugerido de limpieza
NOTA: Eliminar esta clase de parásitos, puede ocasionar que
algunos de los programas que lo instalan, dejen de funcionar o
no funcionen correctamente.
* Antivirus
Para borrar manualmente el troyano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados (generalmente un archivo .DLL).
4. Borre todos los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. Seleccione el menú desplegable "Edición", "Buscar", y
escriba en la ventana "Buscar" que será desplegada, el nombre
del archivo .DLL detectado en el punto "3" del ítem
"Antivirus" (que en la descripción se muestra como [nombre al
azar].dll):
3. Tome nota y borre todas las carpetas {????????-????-????-
????-????????????}, que coincidan con la encontrada en cada
referencia al archivo .DLL anterior:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{????????-????-????-????-????????????}
HKCR\CLSID
\{????????-????-????-????-????????????}\InProcServer32
(Predeterminado)="c:\windows\system32\[nombre al azar].dll"
HKCR\CLSID
\{????????-????-????-????-????????????}\InProcServer32
ThreadingModel=Apartment
4. En el editor del registro, haga clic en "Mi PC" de la
ventana izquierda. Seleccione el menú desplegable "Edición",
"Buscar", y escriba en la ventana "Buscar" que será
desplegada, el nombre de la carpeta {????????-????-????-????-
????????????} detectada en el punto 5.
5. Borre todas las apariciones de la carpeta {????????-????-
????-????-????????????}.
6. Busque la siguiente entrada:
HKEY_CLASSES_ROOT
\PROTOCOLS
7. Borre las siguientes carpetas que cuelgan de PROTOCOLS:
text/html
text/plain
8. Busque la siguiente entrada:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main
9. Haga clic en la carpeta "Main" y en el panel de la derecha,
busque y borre todas las entradas similares a las siguientes:
HOMEOldSP="about:blank"
Search Bar=file://TEMP\sp.html
Search Page=file://TEMP\sp.html
Start Page="about:blank"
Use Custom Search URL=1
Use Search Asst="no"
Search Bar = res://TEMP\se.dll/sp.html
Search Bar="res://%43%3a%5c%57%49%4e%44%4f%57%53
%5c%53%79%73%74%65%6d%33%32%5c%6b%6e%66%6f%62%61
%2e%64%6c%6c/%73%70%2e%68%74%6d%6c"
Search Page="res://%43%3a%5c%57%49%4e%44%4f%57%53
%5c%53%79%73%74%65%6d%33%32%5c%6b%6e%66%6f%62%61
%2e%64%6c%6c/%73%70%2e%68%74%6d%6c"
10. Busque la siguiente entrada:
HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Search
11. Haga clic en la carpeta "Search" y en el panel de la
derecha, busque y borre todas las entradas similares a las
siguientes:
SearchAssistant=file://TEMP\sp.html
SearchAssistant="res://%43%3a%5c%57%49%4e%44%4f%57
%53%5c%53%79%73%74%65%6d%33%32%5c%6b%6e%66%6f%62%61
%2e%64%6c%6c/%73%70%2e%68%74%6d%6c"
12. Busque la siguiente entrada:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Internet Explorer
\Main
13. Haga clic en la carpeta "Main" y en el panel de la
derecha, busque y borre todas las entradas similares a las
siguientes:
HOMEOldSP="about:blank"
Search Bar=file://TEMP\sp.html
Search Page=file://TEMP\sp.html
Start Page="about:blank"
Use Custom Search URL=1
Use Search Asst="no"
Search Bar = res://TEMP\se.dll/sp.html
Search Bar="res://%43%3a%5c%57%49%4e%44%4f%57%53
%5c%53%79%73%74%65%6d%33%32%5c%6b%6e%66%6f%62%61
%2e%64%6c%6c/%73%70%2e%68%74%6d%6c"
Search Page="res://%43%3a%5c%57%49%4e%44%4f%57%53
%5c%53%79%73%74%65%6d%33%32%5c%6b%6e%66%6f%62%61
%2e%64%6c%6c/%73%70%2e%68%74%6d%6c"
14. Busque la siguiente entrada:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Internet Explorer
\Search
15. Haga clic en la carpeta "Search" y en el panel de la
derecha, busque y borre todas las entradas similares a las
siguientes:
SearchAssistant=file://TEMP\sp.html
SearchAssistant="res://%43%3a%5c%57%49%4e%44%4f%57%53
%5c%53%79%73%74%65%6d%33%32%5c%6b%6e%66%6f%62%61%2e%64
%6c%6c/%73%70%2e%68%74%6d%6c"
16. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Recuperar WININET.DLL
* En Windows 98:
1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.
2. Marque "Extraer un archivo del disco de instalación"
3. En la ventana "Especifique el archivo del sistema que desea
restaurar", escriba el nombre del archivo a restaurar:
WININET.DLL
4. Haga clic en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos
de instalación de Windows (en el CD, generalmente es D:\WIN98,
si la unidad de CD fuera la D:, de lo contrario busque su
ubicación en el disco duro, donde se suelen copiar antes de
una instalación).
6. En "Guardar archivo en" asegúrese de tener
"C:\WINDOWS\SYSTEM" (sin las comillas).
7. Haga clic en "Aceptar".
8. Confirme la carpeta para copias de seguridad y haga clic
nuevamente en "Aceptar" (si no existe, tal vez se genere ahora
esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").
* En Windows Me:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Haga clic en el botón "Extraer archivo"
3. En "Especifique el nombre del archivo que desea restaurar"
escriba el nombre del archivo a restaurar:
WININET.DLL
4. Haga clic en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos
de instalación de Windows (en el CD, generalmente es D:\WIN9X,
si la unidad de CD fuera la D:, de lo contrario busque su
ubicación en el disco duro, donde se suelen copiar antes de
una instalación).
6. En "Guardar archivo en" asegúrese de tener
"C:\WINDOWS\SYSTEM" (sin las comillas).
7. Haga clic en "Aceptar".
8. Confirme la carpeta para copias de seguridad y haga clic
nuevamente en "Aceptar" (si no existe, tal vez se genere ahora
esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").
* En Windows XP:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Haga clic en el botón "Expandir archivo"
3. En "Archivo para restaurar" escriba el nombre del archivo a
restaurar:
WININET.DLL
4. En "Restaurar desde" escriba el camino completo a los
archivos de instalación de Windows (en el CD, generalmente es
D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario
busque su ubicación en el disco duro, donde se suelen copiar
antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener
"C:\WINDOWS\SYSTEM32" (sin las comillas).
7. Haga clic en "Expandir".
* Desregistrar DLL
1. Cierre el Internet Explorer y cualquier otra ventana
abierta
2. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter):
regsvr32 /u [nombre al azar].DLL
Donde [nombre al azar].DLL es el nombre del archivo .DLL
detectado en el punto "3" del ítem "Antivirus".
3. Se podría abrir una ventana del Internet Explorer,
ciérrela.
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione "Vaciar
la papelera de reciclaje".
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Procedimiento para restaurar página de inicio y página de
búsqueda en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Haga clic en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Haga clic en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también
la página inicio" y seleccione el botón SI.
7. Haga clic en "Aceptar".
* Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde
Herramientas, Opciones de Internet, General, Página de inicio,
por una de su preferencia (o haga clic en "Página en blanco").
O navegue hacia una página de su agrado, haga clic en
Herramientas, Opciones de Internet, General, y finalmente haga
clic en "Usar actual".
* Cambiar las páginas de búsqueda del Internet Explorer
1. Inicie el Internet Explorer.
2. Haga clic en el botón "Búsqueda" de la barra de
herramientas.
3. En el panel que se despliega (Nuevo, Siguiente,
Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda"
(Use Search Assistant).
5. Haga clic en el botón "Reiniciar" (Reset).
6. Haga clic en el botón "Configuración de Autosearch"
(Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search
Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones.
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos" (NOTA: Tal vez deba cambiar las propiedades
del archivo, eliminando el atributo "Solo lectura". Para ello,
desde el Explorador de Windows busque dicho archivo, utilice
botón derecho, Propiedades y desmarque "Sólo lectura").
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que
modifique el archivo HOSTS para protegerlo de ciertos
parásitos, vuelva a ejecutar ese programa para actualizar el
archivo HOSTS con dicha información.
Finalmente reinicie su PC, y vuelva a ejecutar un antivirus
actualizado.
* Información adicional
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet, así
como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones'
u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados, simplemente
ejecutamos esos antivirus en su opción de escaneo, sobre la
carpeta que contenga los archivos a revisar). Y por supuesto,
de nada vale usar algún antivirus si no lo mantenemos
actualizado con los upgrades, updates o add-ons
correspondientes. Actualmente, las actualizaciones de la
mayoría de los fabricantes son diarias. No existen los "virus
demasiados nuevos y sin antídotos", la reacción de las casas
de antivirus es inmediata en todos los casos. Pero mejor
pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga referencias
de seriedad, o que no sean medianamente conocidos. Y si se
bajan archivos, proceder como los archivos adjuntos. Copiarlos
a una carpeta y revisarlos con dos o tres antivirus
actualizados antes de optar por ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos el
permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo a
la política de Copyright adoptada por cada uno de ellos, y su
inclusión en nuestro boletín se rige por dichas políticas, sin
embargo, para su uso en otro medio, se deberá solicitar la
debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 1713 Año 9, miércoles 16 de marzo de 2005
|
Responder a este mensaje
