Mostrando mensaje 755     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1705 Año 9, martes 8 de marzo de 2005 Fecha: Martes, 8 de Marzo, 2005  09:15:14 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1705 Año 9, martes 8 de marzo de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - El gusano Sober ataca de nuevo 2 - Primer virus para celulares que utiliza mensajes MMS 3 - W32/Sober.L. Envía mensajes en inglés o alemán 4 - W32/Sumom.A. Se propaga por MSN Messenger y P2P 5 - W32/Kelvir.C. Se propaga por MSN Messenger _____________________________________________________________ 1 - El gusano Sober ataca de nuevo _____________________________________________________________ http://www.vsantivirus.com/08-03-05a.htm El gusano Sober ataca de nuevo Win32/Sober.L, la última versión de una de las familias de virus de mayor reproducción del 2004, fue detectada este lunes 7 de marzo. NOD32 fue capaz de detectarlo automáticamente a través de su Heurística Avanzada. La nueva versión Sober.L del gusano, alcanzó niveles de propagación medios en algunos países en particular. La familia de gusanos Sober ha sido una de las que mayor propagación alcanzó durante el 2004. Por ejemplo, el 21 de febrero de este año, fue detectada la versión K del gusano. Desde el primer día tuvo muy amplia propagación, alcanzando las primeras posiciones del ranking de virus más detectados de febrero. La nueva variante tiene un nivel medio de propagación, y ya fueron recibidos una cantidad importante de reportes desde España, Alemania e Italia. NOD32, es capaz de detectar esta nueva versión del Sober gracias a su Heurística Avanzada, por lo que los usuarios del antivirus de Eset estuvieron protegidos contra el gusano, aún antes de aparecer la actualización de las firmas de virus. Esto brindó una completa protección preventiva en las primeras horas desde la aparición del Sober.L. El gusano Win32/Sober.L, tal como es detectado ahora por NOD32, se reproduce a través del correo electrónico utilizando su propio motor SMTP, y enviando un mensaje cuyo texto puede estar en inglés o alemán, lo que también caracteriza a otras variantes anteriores. El mensaje contiene un archivo adjunto que, si es ejecutado, permite al gusano instalarse en el sistema y comenzar la recolección de direcciones de correo electrónico a las que luego se enviará. Sober evita enviarse a ciertas direcciones, algunas de ellas pertenecientes a fabricantes de antivirus. Al momento de ejecutarse, el gusano abre una instancia del bloc de notas y muestra un texto que simula ser un error en la descompresión de un archivo ZIP. Como versiones anteriores de la familia Sober, el gusano utiliza un recurso que busca evitar que los antivirus sean capaces de analizar los archivos infectados por él, evitando que un antivirus tradicional lo detecte y elimine, mientras no se pueda finalizar su proceso en memoria. Para aquellos que no son usuarios de NOD32, Eset ha lanzado una herramienta especial de limpieza que permite eliminar el virus Sober en todas sus variantes, incluida esta última. La herramienta está disponible en la siguiente dirección: W32/Sober.L. Envía mensajes en inglés o alemán http://www.vsantivirus.com/sober-l.htm Video Soft, empresa creadora del sitio VSAntivirus, representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Primer virus para celulares que utiliza mensajes MMS _____________________________________________________________ http://www.vsantivirus.com/08-03-05.htm Primer virus para celulares que utiliza mensajes MMS Por Angela Ruiz angela@videosoft.net.uy Se ha detectado un nuevo virus para teléfonos móviles, que al contrario de sus antecesores, que utilizaban tecnologías con muchas limitaciones como Bluetooth (Cabir y otros), se vale de los mensajes multimedia (MMS) enviados por estos teléfonos a otros usuarios. Este tipo de mensajes suele ser muy empleado hoy día para el envío de las imágenes y videos obtenidos mediante las cámaras que los nuevos modelos de celulares incorporan. Este gusano, denominado "CommWarrior" por F-Secure, podría de ese modo llegar a distribuirse de manera global con la misma velocidad que los clásicos gusanos de Internet vía correo electrónico. El nuevo gusano, como los anteriores capaces de infectar celulares, se ejecuta bajo el sistema operativo Symbian. Cabir, considerado el primer gusano de teléfonos móviles, se propaga utilizando servicios Bluetooth, también bajo Symbian. Sin embargo las limitaciones de Bluetooth no lo hacen un gran riesgo para los usuarios. Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles y otros dispositivos, y no está habilitada por defecto, siendo además su rango de transmisión de muy pocos metros. A pesar de ello, Cabir ha sido reportado en más de 17 países, aunque en una escala muy reducida. CommWarrior, en cambio, además de poder propagarse por Bluetooth, también lo puede hacer a través de mensajes MMS. Esto amplía enormemente la posibilidad de propagación, ya que este tipo de comunicación, consistente en una simple llamada de teléfono a teléfono, es mucho más común. El gusano aparenta ser de origen ruso, y las primeras versiones fueron detectadas en un archivo .SIS con el siguiente texto "Norton AntiVirus. Released now for mobile, install it!", entre otros posibles. El gusano afecta a teléfonos móviles que utilicen el sistema operativo Symbian (EPOC) 6.1 o superior. La extensión .SIS es utilizada por este sistema operativo para las instalaciones. * Más información: Infección de teléfonos móviles vía Bluetooth http://www.vsantivirus.com/ev-04-12-04.htm Primer gusano para teléfonos móviles http://www.vsantivirus.com/ev-15-06-04.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Sober.L. Envía mensajes en inglés o alemán _____________________________________________________________ http://www.vsantivirus.com/sober-l.htm Nombre: W32/Sober.L Nombre NOD32: Win32/Sober.L Tipo: Gusano de Internet Alias: Sober.L, BACKDOOR.Trojan, Email-Worm.Win32.Sober.l, I- Worm/Sober.M, Sober.L@m, Sober.L@mm, W32/Sober.gen@MM, W32/Sober.M@mm, W32/Sober.O.worm, W32/Sober-L, Win32.HLLM.Generic.328, Win32.Sober.L@mm, Worm/Sober.L, WORM_SOBER.L, Win32/Sober.L, Win32/Sober.45222!Trojan, Win32.Sober.L!ZIP, NewHeur_PE (detectado con heurística NOD32) Fecha: 07/mar/05 Plataforma: Windows 32-bit Tamaño: 45,222 bytes (UPX) Herramienta de limpieza: Si Variante del Sober, detectado el 7 de marzo de 2005. Escrito en Microsoft Visual Basic y comprimido con la herramienta UPX, se propaga por correo electrónico, o es enviado en forma de spam. Los mensajes tienen asuntos y textos en inglés o alemán. Utiliza su propio motor SMTP, de modo que no depende del cliente utilizado por la víctima para enviarse. El remitente siempre es falso, y es seleccionado al azar de la lista de direcciones a las que el gusano se envía. El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones: .at .ch .de También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés. Asunto: Your Password & Account number Texto del mensaje: i've got an admin mail with a Password and Account info! but the mail recipient are you! it's probably an esmtp error, i think. i've copied the full mail text in the Windows text-editor & zipped. ok, cya... Datos adjuntos: acc_text.zip Mensaje en alemán: Asunto: Ich habe Ihre E-Mail bekommen! Texto del mensaje: Hallo, jemand schickt ihre privaten Mails auf meinem Account. Ich schaetze mal, das es ein Fehler vom Provider ist. Insgesamt waren es jetzt schon 6 Mails! Ich habe alle Mail-Texte im Texteditor kopiert und gezippt. Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger nicht mehr auf meinem Account landen, es Nervt naemlich. Gruss Datos adjuntos: MailTexte.zip El archivo .ZIP contiene el ejecutable del gusano que puede tener doble extensión, con muchos espacios en blanco que impiden visualizar la verdadera. Ejemplo: mail_text-data.txt .pif El gusano solo se ejecuta cuando el usuario hace doble clic sobre el adjunto. Cuando ello sucede, abre el editor de texto por defecto (por ejemplo el bloc de notas), para hacer creer al usuario que se trata de un archivo inofensivo, mostrando un mensaje falso: Mail-Text: Unzip failed nusirx)qg|{binojsgcgilirjgnjrfeqgo|iypsci|lcutoiuiebty sfdp}xng}{byc}cdfaetqcsrzanpnr}pariuhprwhf|{oyf{rlerf{ [etc...] Cuando se ejecuta, el gusano crea una copia de si mismo en la siguiente ubicación: c:\windows\msagent\SYSTEM\smss.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). También crea los siguientes archivos, los cuáles son utilizados para almacenar la lista de direcciones a las que se envía, y la versión comprimida del gusano en formato MIME para adjuntarse en los mensajes infectados: c:\windows\system\nonrunso.ber c:\windows\system\read.me c:\windows\system\stopruns.zhz c:\windows\system\xcvfpokd.tqa c:\windows\msagent\system\emdata.mmx c:\windows\msagent\system\zipzip.zab Ocasionalmente puede crear un archivo READ.ME conteniendo el siguiente texto: test test test In diesem Sinne: Odin alias Anon Crea las siguientes entradas para auto ejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run _Services.dll = c:\windows\msagent\system\smss.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run _Services.dll = c:\windows%\msagent\system\smss.exe El gusano utiliza su propio motor SMTP (Simple Mail Transfer Protocol), para enviarse en forma masiva. Obtiene las direcciones de archivos con las siguientes extensiones: .abc .abd .abx .adb .ade .adp .adr .asp .bak .bas .cfg .cgi .cls .cms .csv .ctl .dbx .dhtm .doc .dsp .dsw .eml .fdb .frm .hlp .imb .imh .imm .inbox .ini .jsp .ldb .ldif .log .mbx .mda .mdb .mde .mdw .mdx .mht .mmf .msg .nab .nch .nfo .nsf .nws .ods .oft .php .phtm .pl .pmr .pp .ppt .pst .rtf .shtml .slk .sln .stm .tbb .txt .uin .vap .vbs .vcf .wab .wsh .xhtml .xls .xml Evita enviarse a direcciones cuyos nombres contengan algunas de las siguientes cadenas: .dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock -dav detection domain. emsisoft ewido. freeav free-av ftp. gold-certs google host. icrosoft. ipt.aol law2 linux mailer-daemon mozilla mustermann@ nlpmail01. noreply nothing ntp- ntp. ntp@ office password postmas reciver@ secure service smtp- somebody someone spybot sql. subscribe support t-dialin test@ time t-ipconnect user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname Intenta terminar cualquier proceso que contenga alguna de las siguientes cadenas (que corresponden a algunas herramientas utilizadas en la limpieza de este y otros virus): gcas gcip giantanti hijackthis stinger Periódicamente, el gusano comprueba la existencia del archivo XCVFPOKD.TQA. Si existe, el gusano se auto desinstala de memoria. Si el mencionado archivo está presente en la carpeta System (o System32) de Windows antes de existir una infección, entonces el gusano no se instalará en dicho equipo. Esta versión mantiene tres procesos activos en memoria para permanecer siempre residente. Si se elimina cualquiera de ellos, los demás crean un nuevo proceso. Algunos de los archivos copiados en el sistema se encargan de monitorear esto, y de crear de inmediato una nueva copia, por lo que la limpieza manual debe hacerse en modo a prueba de fallos (la herramienta de limpieza automática de NOD32 elimina eficazmente los tres procesos sin necesidad de ninguna acción extra). * Herramienta de limpieza automática: Descargue y ejecute esta herramienta de NOD32 en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla. http://www.vsantivirus.com/sober-l.htm Herramienta de limpieza (c) Future Time Srl * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre todos los archivos detectados como infectados. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre la carpeta SYSTEM dentro de "c:\windows\msagent\": c:\windows\msagent\SYSTEM NOTA: Tenga cuidado de no borrar c:\windows\SYSTEM\, que es una carpeta legítima de Windows. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares a los descriptos antes. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y borre la siguiente entrada: _Services.dll 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y borre la siguiente entrada: _Services.dll 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Sumom.A. Se propaga por MSN Messenger y P2P _____________________________________________________________ http://www.vsantivirus.com/sumom-a.htm Nombre: W32/Sumom.A Nombre NOD32: Win32/Sumom.A Tipo: Gusano de Internet Alias: Sumom, IM-Worm.Win32.Sumom.a, W32.Serflog.A, WORM_FATSO.A, W32/Crog.worm, W32/Generic.m, W32/Fatso.A.worm, W32/Sumom-A, Win32/Sumom.A, Win32.Sumom.A, Win32/Bropia.17429!Worm, Win32.Bropia.U, W32/Sumom.A Fecha: 7/mar/05 Plataforma: Windows 32-bit Tamaño: 17,429 bytes Este gusano se propaga a través de MSN Messenger y de redes P2P. Al ejecutarse, crea algunas de las siguientes copias de si mismo en el equipo infectado: c:\windows\lspt.exe c:\windows\msmbw.exe c:\windows\system\formatsys.exe c:\windows\system\serbw.exe NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). El gusano también crea copias de si mismo en el directorio raíz de la unidad C: con alguno de los siguientes nombres: Annoying crazy frog getting killed.pif Crazy frog gets killed by train!.pif Fat Elvis! lol.pif How a Blonde Eats a Banana...pif Jennifer Lopez.scr LOL that ur pic!.pif Me on holiday!.pif Mona Lisa Wants Her Smile Back.pif My new photo!.pif See my lesbian friends.pif The Cat And The Fan piccy.pif Topless in Mini Skirt! lol.pif Modifica las siguientes entradas para ejecutarse en cada reinicio del sistema: HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Nombre al azar] = c:\windows\msmbw.exe HKCU\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer\Run [Nombre al azar] = c:\windows\msmbw.exe HKLM\Software\Microsoft\Windows \CurrentVersion\RunServices [Nombre al azar] = c:\windows\[archivo].exe HKLM\Software\Microsoft\Windows \CurrentVersion\policies\Explorer\Run [Nombre al azar] = c:\windows\[archivo].exe HKLM\Software\Microsoft\Windows \CurrentVersion\Run [Nombre al azar] = c:\windows\[archivo].exe Donde [Nombre al azar] puede ser alguno de los siguientes: avnort ltwob serpe Y [archivo], puede tener uno de los siguientes nombres: formatsys lspt msmbw serbw El gusano libera un documento HTML en el directorio raíz de la unidad C:, el cuál es visualizado utilizando el navegador por defecto del equipo infectado. Cuando ello ocurre, se intenta una conexión a Internet para actualizar un contador donde supuestamente se contabilizan la cantidad de infecciones, descargándose una imagen en formato JPG de los siguientes servidores remotos: http://frog.0catch.com/??????big_deal.jpg http://udjc.com/?????? Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde la máquina infectada: avp .com ca .com customer .symantec .com dispatch .mcafee .com download .mcafee .com f-secure .com grisoft .com kaspersky .com kaspersky-labs .com liveupdate .symantec .com liveupdate .symantecliveupdate .com mast .mcafee .com mcafee .com my-etrust .com nai .com networkassociates .com rads .mcafee .com sandbox .norman .no secure .nai .com securityresponse .symantec .com sophos .com symantec .com trendmicro .com uk .trendmicro-europe .com update .symantec .com updates .symantec .com us .mcafee .com viruslist .com www .avp .com www .ca .com www .f-secure .com www .grisoft .com www .kaspersky .com www .mcafee .com www .my-etrust .com www .nai .com www .networkassociates .com www .pandasoftware .com www .sophos .com www .symantec .com www .trendmicro .com www .viruslist .com El gusano cambia el nivel de seguridad de Windows, modificando las siguientes entradas del registro para deshabilitar las opciones que permiten restaurar el sistema automáticamente: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore DisableConfig = "0" HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore DisableSR = "0" Intenta finalizar los siguientes procesos, pertenecientes a conocidos antivirus y cortafuegos: apvxdwin.exe atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avengine.exe avsynmgr.exe avwupd32.exe avxquar.exe bawindo.exe blackd.exe ccapp.exe ccevtmgr.exe ccproxy.exe ccpxysvc.exe cfiaudit.exe cmd.exe defwatch.exe drwebupw.exe escanh95.exe escanhnt.exe firewall.exe frameworkservice.exe icssuppnt.exe icsupp95.exe luall.exe lucoms~1.exe mcagent.exe mcshield.exe mcupdate.exe mcvsescn.exe mcvsrte.exe mcvsshld.exe msconfig.exe msdev.exe navapsvc.exe navapw32.exe nisum.exe nopdb.exe nprotect.exe nupgrade.exe ollydbg.exe outpost.exe pavfires.exe pavproxy.exe pavsrv50.exe peid.exe petools.exe regedit.exe reshacker.exe rtvscan.exe rulaunch.exe savscan.exe shstat.exe sndsrvc.exe symlcsvc.exe taskmgr.exe Update.exe updaterui.exe vpupd.exe vshwin32.exe vsstat.exe vstskmgr.exe w32dasm.exe winhex.exe wscript.exe El gusano también cierra cualquier ventana, cuyo título incluya alguna de las siguientes cadenas: adware alerts anti autostarted avg benign blocker bug bullguard buster center -cillin cleaner cmd command destroy detection doctor earthlink editor eliminate eye fight filter firewall fix fixing heal help hunter kerio kill labs liveupdate malware malwhere mcafee netcop nod32 norton panda process!a prompt protector registry removal restore sandbox scan secure security sophos spy spybot spyware stopper sweeper task tool trend update vcatch virus watch worm El gusano se propaga por MSN Messenger enviando un mensaje a todos los contactos que se encuentren en línea. Cuando un usuario hace clic en el enlace enviado, se produce la descarga de una copia del gusano. Para propagarse por redes P2P utiliza alguno de los siguientes nombres, copiándose en las carpetas compartidas por defecto en esa clase de aplicaciones: Messenger Plus! 3.50.exe MSN all version polygamy.exe MSN nudge bomb.exe * Reparación manual * Deshabilitar las carpetas compartidas de programas P2P Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema. Para ello, siga las instrucciones del siguiente artículo: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\Annoying crazy frog getting killed.pif c:\Crazy frog gets killed by train!.pif c:\Fat Elvis! lol.pif c:\How a Blonde Eats a Banana...pif c:\Jennifer Lopez.scr c:\LOL that ur pic!.pif c:\Me on holiday!.pif c:\Mona Lisa Wants Her Smile Back.pif c:\My new photo!.pif c:\See my lesbian friends.pif c:\The Cat And The Fan piccy.pif c:\Topless in Mini Skirt! lol.pif c:\windows\lspt.exe c:\windows\msmbw.exe c:\windows\system\formatsys.exe c:\windows\system\serbw.exe Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes: avnort ltwob serpe 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Explorer \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes: avnort ltwob serpe 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes: avnort ltwob serpe 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \policies \Explorer \Run 9. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes: avnort ltwob serpe 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 11. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes: avnort ltwob serpe 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Policies \Microsoft \Windows NT \SystemRestore 13. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DisableConfig = 0 14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Policies \Microsoft \Windows NT \SystemRestore 15. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DisableSR = 0 16. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Kelvir.C. Se propaga por MSN Messenger _____________________________________________________________ http://www.vsantivirus.com/kelvir-c.htm Nombre: W32/Kelvir.C Nombre NOD32: Win32/Kelvir.C Tipo: Gusano de Internet Alias: Kelvir.C, Kelvir.D, IM-Worm.Win32.Kelvir.b, W32.Kelvir.C, W32.Kelvir.D, W32/Kelvir.B, W32/Kelvir.B-net, W32/Kelvir.C, W32/Kelvir.C.worm, W32/Kelvir.D, W32/Kelvir.worm.c, W32/Kelvir.worm.d, W32/Kelvir-C, Win32.HLLW.Kelvin, Win32.Kelvir.C, Win32.Kelvir.D, Win32.Worm.Kelvir.B, Win32/Bropia.47897!Worm, Win32/Bropia.S!Worm, Win32/Kelvir.C, Worm.Kelvir.B, WORM_KELVIR.B Fecha: 7/mar/05 Plataforma: Windows 32-bit Tamaño: 49,011 bytes (downloader) Gusano que se propaga por MSN Messenger a todos los contactos en línea. Este mecanismo requiere que el usuario tenga una sesión abierta del Messenger para que ello ocurra. El gusano muestra un mensaje en inglés, donde se invita a descargar un archivo: http://[dirección]/omg.pif lol! seeit! u'll like it El usuario que recibe y acepta este mensaje, debe pinchar en el enlace para descargar el archivo, que es el gusano propiamente dicho. El nombre de este archivo suele ser OMG.PIF. Después de ejecutarse, este componente intenta descargar otro archivo desde un sitio remoto. Actualmente este archivo no está disponible. También intenta enviar un mensaje similar al ya visto, con el propio gusano como archivo adjunto, a otros contactos en línea. Las propiedades del archivo OMG.PIF muestran las siguientes características: Descripción: Windows Messenger API Copyright: © Microsoft Corporation. All rights reserved. Propiedades: Comentarios: Windows Messenger API Idioma: Inglés (Estados Unidos) Nombre del producto: MessengerAPI Nombre interno: MessengerAPI Nombre original del archivo: MessengerAPI.exe Organización: Microsoft Corporation Versión del archivo: 6.02.0137 Versión del producto: 6.02.0137 * Reparación manual * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1705 Año 9, martes 8 de marzo de 2005