Inicio > Mis eListas > vsantivirus > Mensajes
 Índice de Mensajes 
 Mensajes 77 al 96 
AsuntoAutor
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
VSantivirus No. 10 VSAntivi
 << 20 ant. | 20 sig. >>
 
VSAntivirus
Página principal    Mensajes | Enviar Mensaje | Ficheros | Datos | Encuestas | Eventos | Mis Preferencias

Mostrando mensaje 85     < Anterior | Siguiente >
Responder a este mensaje
Asunto: VSantivirus No. 1036, Año 7, Viernes 9 de mayo de 2003
Fecha:Viernes, 9 de Mayo, 2003  20:53:26 (-0300)
Autor:VSAntivirus.com <vsantivirus @...........com>


VSantivirus No. 1036, Año 7, Viernes 9 de mayo de 2003
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Alerta de SCAM con cuentas de BBVAnet
2 - Funcionamiento de un programa antivirus
3 - Microsoft: Problemas judiciales por falla en Passport
4 - W32/Fizzer.A. Usa correo e IRC, finaliza antivirus
5 - ¡Gane su licencia gratis del antivirus NOD32!
_____________________________________________________________

1 - Alerta de SCAM con cuentas de BBVAnet
_____________________________________________________________

http://www.vsantivirus.com/scam-bbvanet.htm

Alerta de SCAM con cuentas de BBVAnet

Por Jose Luis Lopez
videosoft@videosoft.net.uy

BBVAnet es el servicio de Banca a Distancia del Banco Bilbao
Vizcaya Argentaria. Un lector nos envió un mensaje, donde se
le indicaba un sitio de Internet, en apariencias
perteneciente a dicho banco, en donde debería ingresar los
datos necesarios para activar su alta en BBVAnet.

Dicho mensaje es falso, y se trata de un SCAM, o sea un
engaño mezcla de SPAM (correo basura) y HOAX (bromas o falsas
alertas) creado con la intención de cometer un fraude.

El sitio a que hace referencia el mensaje, pertenece a un
dominio registrado en FREESERVERS, algo extraño para un banco
(Freeservers ofrece host gratuito o a un precio económico).

Claramente se trata de una estafa, en la que tal vez ya hayan
caído varias personas inocentes no informadas debidamente. Si
usted es una de ellas, póngase en contacto de inmediato con
el banco (se dan los teléfonos al final de este aviso).

Este es el mensaje mencionado:

--- Comienzo del mensaje ---

De: "BBVAnet." <servicio_cliente@bbva.es> 08/05/2003 19:49
Asunto:   Aviso Urgente, Banca Online

Estimado cliente de BBVA,

Le comunicamos que próximamente, usted no se podrá subscribir
en Banca Online.
BBVAnet es el servicio de banca a distancia que le ofrece
BBVA, disponer de este servicio le permitirá consultar su
saldo, productos y realizar las transacciones bancarias mas
habituales desde su ordenador, en cualquier momento, con toda
la seguridad que BBVAnet le ofrece, a través de Internet.

Si usted desea tener la oportunidad de poder registrarse en
BBVAnet, por favor acceda al sitio que se muestra a
continuación.

http://gruposbbva.nstemp.com

Si usted decide registrarse en nuestra banca online BBVAnet,
se le contactara telefónicamente después de 24/48 horas
confirmándole su subscripción y le llegara una carta por
correo con la información correspondiente para que pueda
acceder a su banca online en BBVAnet.


© BBVAnet 2003 All rights reserved
© BBVA S.A. 2003
© Banco Bilbao Vizcaya Argentaria S.A. 2003 All rights
reserved

--- final del mensaje ----

El mensaje es falso, y la dirección mencionada lleva a una
página, con apariencia similar a las del banco, donde entre
otra información, se pide al usuario ingresar varios datos,
entre ellos el número PIN (la clave secreta de su tarjeta).

Por supuesto, no debe hacerlo. Jamás debe revelar a nadie ni
esa, ni su clave de ingreso.

[ver imagen http://www.vsantivirus.com/scam-bbvanet.htm]

Aunque la página sigue activa, actualmente el formulario, que
es gestionado en otro sitio gratuito, ha sido deshabilitado,
y si se ingresan datos, saldrá una página de error, donde se
alerta al visitante que se ha dado aviso al FBI (por la
jurisdicción del host), debido a una posible infracción.
Seguramente esto se debe a que se ha abusado de ella,
haciendo saltar alguna alarma.

[ver imagen http://www.vsantivirus.com/scam-bbvanet.htm]

Como es muy fácil caer en este tipo de estafas, es muy
importante que siempre tenga en cuenta los siguientes puntos:

1. Desconfíe siempre de un mensaje como el indicado.
Cerciórese antes en los sitios reales. Si bien un usuario
común es difícil que sospeche de una dirección como la
indicada, y mucho menos de una que contenga el nombre de la
institución a la que hace referencia, como por ejemplo
http://gruposbbva.com (también activa, y usufructuada por el
mismo pirata), toda vez que se requiera el ingreso de
información confidencial, no lo haga sin estar absolutamente
seguro.

Nota: El sitio http://gruposbbva.com no se menciona en la
carta enviada, donde se indica esta otra:
http://gruposbbva.nstemp.com. En ambos casos el engaño es muy
sutil, porque la dirección http://www.grupobbva.com/
realmente pertenece al banco. Hay una sola letra de
diferencia con la real, la "s" de grupos (en este caso no
responde http://grupobbva.com/, pero si con el www antes).

2. Preste atención al hecho de que cualquier compañía
responsable, le llevará a un servidor seguro para que ingrese
allí sus datos, cuando estos involucran su privacidad. Una
forma de corroborar esto, es observar si la dirección
comienza con https: en lugar de solo http: (note la "s" al
final). Un sitio con una URL https: es un sitio seguro. Pero
recuerde que eso solo significa que las transferencias entre
su computadora y el sitio serán encriptadas y protegidas, de
ningún modo le asegura que el sitio es real. Como en este
caso, la página del formulario, comienza solo con http:, eso
ya es razón suficiente para negarse a ingresar dato alguno.

Note que el servidor seguro, no necesariamente es al que
usted ingresa cuando entra a un sitio como el de un banco.
Pero si debe serlo en el momento en que ese sitio lo lleve a
algún formulario para ingresar datos confidenciales.

3. Una vez en un sitio seguro, otro indicador es la presencia
de un pequeño candado amarillo en el rincón inferior a su
derecha. Un doble clic sobre el mismo debe mostrarle la
información del certificado de Autoridad, la que debe
coincidir con el nombre de la compañía (o banco como en este
caso), a la que usted está a punto de ingresar sus datos,
además de estar vigente y ser válida.

4. Si aún cumpliéndose las dos condiciones mencionadas, duda
de la veracidad del formulario, no ingrese nada, y consulte
de inmediato con la institución de referencia, bien vía
correo electrónico (si es una dirección que siempre usó), o
mejor aún en forma telefónica.

Este el mensaje que las autoridades del banco nos han hecho
llegar en las últimas horas, ante nuestra consulta:

---- Respuesta del BBVA ----

From: <BBVAresponde@grupobbva.com>
To: <VSANTIVIRUS@VSANTIVIRUS.COM>
Date: 9 MAY 2003 14:34:23 +0100

Estimado/a cliente:

Gracias por utilizar los servicios de banca por Internet de
BBVA.

En relación al correo que usted ha recibido requiriéndole
datos personales y de su tarjeta BBVA para darse de alta en
BBVA net, le agradecemos nos haya informado de la recepción
de un correo en nombre de BBVA de procedencia desconocida, al
que en ningún caso debe atender.

Como usted sabe, BBVA net sólo pide datos personales a sus
clientes desde la página de acceso, en entorno seguro, que
usted puede encontrar accediendo a la dirección oficial del
Servicio en Internet, que es:

https://www.bbvanet.com

Accediendo a esta dirección podrá realizar sus consultas y
operaciones de manera segura.

Agradecemos la utilización que hace de nuestros servicios  y
aprovechamos la ocasión para saludarle atentamente.

---- Final de la respuesta ----

Aunque se trata de un caso concreto, nada impide que puedan
existir estafas similares (de hecho la hay), por lo que
siempre tenga en cuenta lo que aquí mencionamos para no caer
en una de ellas.


* Información importante

Teléfonos del Banco Bilbao Vizcaya Argentaria (BBVA) para
consultas en España:  902 22 44 66

Desde fuera de España: + 34 91 374 7368

Correo electrónico de atención al cliente:
atencion.clientes@grupobbva.com


* Agradecimientos:

A Ramon Mallafre de España, por enviarnos una muestra del
mensaje falso.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Funcionamiento de un programa antivirus
_____________________________________________________________

http://www.vsantivirus.com/fdc-funcionamiento-antivirus.htm

Funcionamiento de un programa antivirus

Por Fernando de la Cuadra (*)
Fdelacuadra@pandasoftware.com

Desde los primeros virus, creados como experimentos en los
años 80 hasta los últimos, una de las mayores preocupaciones
de cualquier usuario de ordenador ha sido la entrada de
códigos malignos en su sistema.

Para evitar que los virus disfruten de nuestro ordenador
solamente hay dos soluciones: una, la "burbuja"; es decir,
desconectar el equipo de la red o de Internet y prescindir de
cualquier lector de disquetes, CD-ROM o unidades extraíbles.
Así tendremos la absoluta seguridad de que no va a entrar
ningún virus. Pero tampoco entrará ningún dato que no sea por
el teclado, lo que haría de nuestro ordenador una bonita
máquina, pero completamente alejada de lo que es la
informática: el tratamiento automático de la información. Si
no hay información que entre, no se podrá tratar. Si ese es
su punto de vista, le podemos recomendar un montón de
espectaculares hornos microondas que le darán más servicio
que un ordenador "burbuja".

La segunda solución es la instalación de un programa
antivirus. Con ellos podrá tener la seguridad de que ningún
código maligno entrará en nuestro sistema, pero ¿cómo lo
hacen?, ¿por qué un antivirus permite que instale un juego y
no permite que se copie un virus? Veamos cómo funciona.

Un programa antivirus no es más que un sistema que analiza
información de muy diverso tipo y, en caso de que se
encuentre infectada, procede a su desinfección. El análisis
de la información se produce de muy diferentes maneras
dependiendo de dónde provenga. Evidentemente no es lo mismo
que un antivirus se dedique a controlar la actividad de la
disquetera que la del correo electrónico o la de la red
local. El principio de funcionamiento es similar, pero con
matices.

[ver imagen en
 http://www.vsantivirus.com/fdc-funcionamiento-antivirus.htm]

La información que está en el "Sistema origen" debe llegar al
"Sistema destino". El sistema origen podría ser un disquete y
el sistema destino el disco duro del ordenador, o bien el
origen podría ser un ISP donde está almacenado un mensaje y
el destino el sistema de comunicación de Windows de la
máquina cliente o Winsock.

El funcionamiento del mecanismo de interceptación de la
información varía en función de su implantación en sistemas
operativos, en aplicaciones o bien de la necesidad de
mecanismos especiales.

El mecanismo de interceptación debe ser específico para cada
sistema operativo o componente sobre el que se va a implantar
el antivirus. Por ejemplo, en el caso de Windows 9x, estará
formado por un driver virtual VxD que monitorice
constantemente la actividad del disco. De esta manera, cada
vez que se vaya a acceder a la información del disco o de los
disquetes, el antivirus interceptará la llamada a la lectura
o escritura del disco, analizará la información que se va a
leer o grabar y la analizará. Esta misma operación se realiza
a través de un driver en modo kernel en Windows NT/2000/XP o
un NLM interceptando la actividad de disco en Novell.

En el caso de los antivirus no diseñados directamente para
sistemas operativos sino para implementarse sobre otras
aplicaciones, el mecanismo de intercepción es distinto. Por
ejemplo, en el caso de un antivirus para Firewalls CVP, es el
propio firewall el que facilita la información al antivirus
para su análisis mediante el protocolo CVP. O en el caso de
un antivirus para SendMail es MilterAPI el que facilita la
interceptación de la información.

En determinadas ocasiones no existe un mecanismo propio de
interceptación proporcionado por el antivirus (como puede ser
un VxD) o por la aplicación (como el CVP). En este caso, se
deben utilizar mecanismos especiales entre la aplicación y el
antivirus, es decir, recursos que intercepten la información
y se la faciliten al antivirus, proporcionando una
integración completa para la desinfección de los virus.

Una vez analizada la información, por el método que sea, si
se ha detectado cualquier peligro, se llevan a cabo dos
acciones:

1. Devolver la información limpia al mecanismo de
interceptación que, a su vez, la devolverá al sistema para
que siga su curso hasta el destino final. Es decir, si
estábamos recibiendo un correo electrónico, dejar que el
correo llegue a la bandeja de entrada, o si estábamos
copiando un fichero, dejar que se termine el proceso de
copia.

2. Emitir una alarma a la interfaz del usuario. Esta interfaz
de usuario puede ser también muy diversa. En un antivirus
para una estación de trabajo puede ser un mensaje mostrado
por pantalla, pero en una solución para servidores la alarma
puede consistir en un mensaje de correo electrónico, un
mensaje a la red interna, una entrada en un informe de
actividad o una comunicación de algún tipo a la herramienta
de gestión del antivirus.

Como vemos, el antivirus no hace ningún milagro extraño, ni
es una pieza de software a la que debamos mirar con
extrañeza. Es un aliado de nuestra seguridad muy sencillo,
pero de una elevada tecnología y precisión. Pensemos que para
copiar unos cuantos megas a nuestro disco duro el antivirus
debe buscar entre más de 65.000 virus sin que la marcha
normal del equipo se interrumpa ni el usuario lo perciba
demasiado.

La seguridad que ofrece un antivirus es muy elevada y nos
evitará más de un disgusto. Y eso es algo tan sencillo como
emplear XXX Euros en una caja tranquilizadora. No creo que la
duda sea muy grande...

* Motores de búsqueda

Independientemente de cómo se haya conseguido la información
a analizar, entra en acción la parte más importante de un
antivirus: el motor de búsqueda de virus. Este motor se
encarga de buscar virus en la información que ha sido
interceptada y, si procede, desinfectarla.

Esta búsqueda de información se lleva a cabo de dos maneras.
Una consiste en comparar la información recibida con una base
de datos de virus (las llamadas "firmas de virus"). Si
coincide la información con los patrones previamente
conocidos mediante las firmas, se concluye que el fichero
está infectado por un virus.

La otra manera es "averiguar" si lo que se está analizando
puede ser peligroso sin saber previamente si es un virus o
no. Es el llamado "método heurístico". Para ello se analiza
cómo se comporta la información y se compara con una lista de
patrones de comportamientos peligrosos.

Por ejemplo, si se encuentra que un fichero tiene capacidad
de formatear un disco duro el antivirus puede avisar al
usuario. Quizá no sea un virus, sino un nuevo sistema de
formateo que el usuario está instalando en el sistema; sin
embargo, la acción de por sí, es peligrosa. Es el usuario,
ante la alerta que le da el antivirus el que debe decidir si
elimina el peligro o no.

Cada uno de estos procesos tienen sus ventajas e
inconvenientes. Si nos fiamos únicamente del sistema de
firmas de virus, deberemos actualizarlo todos los días al
menos una vez. Teniendo en cuenta que se están descubriendo
15 virus nuevos todos los días, dejar un antivirus más de dos
o tres días sin actualizar es demasiado peligroso.

Y el sistema heurístico puede que nos de alertas con
elementos que sabemos que no lo son. Si acostumbramos a
trabajar con determinados elementos que pueden ser
considerados peligrosos las alertas nos cansarán. Sobre todo
los programadores pueden preferir desactivarlo.

* Antivirus residentes y bajo demanda

Cuando se habla de un antivirus hay que hacer una distinción
muy clara entre los dos tipos de antivirus que hay. Uno son
los antivirus residentes, de los cuales hablamos
fundamentalmente en el artículo, que son los más complejos y
más necesarios. Son los antivirus que están constantemente
vigilando el sistema para evitar que haya ningún tipo de
intrusión.

El otro tipo de antivirus son los analizadores bajo demanda.
Éstos, si bien utilizan el mismo motor de búsqueda que el
residente, se encargan de analizar partes del sistema
solamente cuando el usuario lo ordena. Son llamados en
ocasiones especiales. Puede usarse, por ejemplo para analizar
un disquete nuevo, o para revisar la información antigua y no
utilizada.


(*) Fernando de la Cuadra es Editor Técnico Internacional de
Panda Software (http://www.pandasoftware.com)


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - Microsoft: Problemas judiciales por falla en Passport
_____________________________________________________________

http://www.vsantivirus.com/09-05-03.htm

Microsoft: Problemas judiciales por falla en Passport

Noticia publicada originalmente en VirusAttack!
http://virusattack.virusattack.com.ar/

Falla en Passport podría traer problemas judiciales a
Microsoft

El miércoles por la noche fue anunciada en la lista de
discusión Full Disclosure una vulnerabilidad crítica en el
servicio de Microsoft llamado Passport, el cual es utilizado
por todos sus sitios para manejar los usuarios que a estos
acceden. Hotmail, y el propio sitio de la empresa de Bill
Gates utiliza Passport para validar el acceso de sus
usuarios.

Passport es, básicamente, un servicio que le permite a una
persona autenticarse en distintos sitios directamente y con
la misma cuenta de usuario. Además, éste puede contener otros
datos personales del usuario, como su número de tarjeta de
crédito, entre otras cosas. Existen alrededor de 200 millones
de usuarios de Passport según la información brindada por
Hotmail.

El agujero de seguridad reportado permitía a un atacante
cambiar la contraseña de cualquier cuenta de Passport, solo
sabiendo su nombre de usuario. De esta manera, a través de
una falla en el mecanismo de recuperación de contraseña,
cualquier podía robar una cuenta de este servicio, y
utilizarla para, por ejemplo, acceder a su cuenta de correo
en Hotmail o obtener su información personal.

La falla fue informada por una persona que decía llamarse
Muhammad Faisal Rauf Danka, un consultor de seguridad
pakistaní, que, según sus propias palabras, descubrió la
falla cuando su propia cuenta de Passport fue robada por un
tercero. Muhammad también publicó la forma en que este
agujero de seguridad podía ser aprovechado, ya que intentó
comunicarla a Microsoft sin éxito desde Marzo.

Ante la publicación de la falla y de cómo podía explotarse,
los responsables de Passport rápidamente deshabilitaron el
mecanismo de recuperación de contraseña del servicio, y se
pusieron a trabajar en una solución, que fue puesta en
funcionamiento algunas horas más tarde, tras trabajar en ella
toda la noche del Miércoles y mañana del Jueves.

Según Adam Sohn, Gerente de Producto de Microsoft Passport,
el problema existía desde Septiembre del 2002, fecha en la
que el sistema de recuperación de contraseña se puso en
funcionamiento tal como es ahora, y que no la habían
corregido antes debido a que no sabían de ella. Los reportes
de Muhammad se hicieron a una dirección que no es la usual
para informar de vulnerabilidades y por ello no llegaron a
destino, afirmó Sohn.

La difusión de esta falla ayuda a desestabilizar aún más la
imagen de la empresa respecto a la seguridad de sus
productos, y podría costarle caro si la Comisión Federal de
Comercio estadounidense (Federal Trade Commision) inicia las
investigaciones que está analizando en llevar adelante
actualmente.

Esta investigación, basada en la necesidad de que la empresa
cumpla sus obligaciones con sus clientes, podría obligar a
pagar 11,000 dólares americanos por violación a los acuerdos
de seguridad y privacidad que esta falla haya desencadenado.
Aunque sus arcas no se verían seriamente afectada por multas
como estas, su imagen se dañaría aún más, en medio de toda la
iniciativa pro-seguridad que la empresa viene llevando
delante desde el lanzamiento de lo que Bill Gates llamó
Trustworthy Computing.

* Más información

CNET News.com - Passport problems could cost Microsoft
http://news.com.com/2100-1009_3-1000655.html?tag=lh

Microsoft – Security Issue in Microsoft .NET Passport Is Resolved
http://www.microsoft.com/security/passport_issue.asp


(*) Este artículo, original de VirusAttack!
http://www.virusattack.com.ar, es publicado en
VSAntivirus.com con la respectiva autorización. Los derechos
de republicación para su uso en otro medio, deberán
solicitarse a webmaster@virusattack.com.ar


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

4 - W32/Fizzer.A. Usa correo e IRC, finaliza antivirus
_____________________________________________________________

http://www.vsantivirus.com/fizzer-a.htm

Nombre: W32/Fizzer.A
Tipo: Gusano de Internet
Alias: Fizzer, W32/Fizzer@MM, Win32/Fizzer.A, W32/Fizzer
Fecha: 8/may/03
Plataforma: Windows 32-bit

Este gusano captura todo lo tecleado por su víctima, y lo
guarda en un archivo que luego puede ser descargado por un
intruso, obteniendo así datos que comprometen la seguridad y
privacidad del usuario infectado. Además, puede finalizar
procesos correspondientes a conocidos antivirus, dejando
desprotegida a la computadora ante el ataque de otros virus y
gusanos.

Se propaga a través de canales de IRC y vía correo
electrónico, enviándose a todos los contactos de la libreta
de direcciones de Windows.

Cuando se ejecuta, no muestra ningún mensaje ni advertencia
visible.

Una vez en memoria, todo lo que teclea el usuario es guardado
en el siguiente archivo:

  c:\windows\ISERVC.KLG

La información es guardada en forma encriptada.

También crea los siguientes archivos:

  c:\windows\INITBAK.DAT
  c:\windows\ISERVC.EXE
  c:\windows\ISERVC.DLL
  c:\windows\PROGOP.EXE

Los dos primeros son copias del propio gusano, y los demás,
son utilizados internamente por el mismo.

NOTA: En todos los casos, "C:\Windows" puede variar de
acuerdo al sistema operativo instalado (con ese nombre por
defecto en Windows 9x/ME y XP, y como "C:\WinNT" en Windows
NT/2000).

Luego modifica el registro de Windows para ejecutarse en cada
reinicio de Windows:

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  SystemInit = c:\windows\ISERVC.EXE

También se modifica la siguiente clave, con lo que el virus
se ejecutará cada vez que se abra un archivo de texto con el
bloc de notas:

  HKEY_CLASSES_ROOT\txtfile\shell\open\command
  (Predeterminado) =
   c:\windows\PROGOP.EXE 0 7 '  c:\windows\NOTEPAD.EXE %1'
  'c:\windows\INITBAK.DAT' 'c:\windows\ISERVC.EXE'

Con esta clave, el gusano consigue ejecutarse cada vez que el
usuario abra un fichero de texto.

Además crea una nueva clave "class root" con similar
asociación:

  HKCR\Applications\ProgOp.exe\shell\Open\Command
  (Predeterminado) =
   c:\windows\PROGOP.EXE 0 7 '  c:\windows\NOTEPAD.EXE %1'
  'c:\windows\INITBAK.DAT' 'c:\windows\ISERVC.EXE'

En Windows NT, 2000 y XP, el gusano crea un servicio llamado
"S1TRACE".

El gusano envía una copia de si mismo a todos los contactos
de la libreta de direcciones de Windows, utilizando su propio
motor SMTP, de modo que no depende del cliente de correo
instalado para hacerlo.

El nombre del remitente de estos mensajes es formado al azar,
y los adjuntos (todos copias del gusano), tienen diferentes
nombres con extensiones .COM, .EXE, .PIF y .SCR.

Por ejemplo:

  Asunto: why?
  Texto: The peace
  Datos adjuntos: desktop.scr

  Asunto: Re: You might not appreciate this...
  Texto: lautlach
  Datos adjuntos: service.scr

  Asunto: Re: how are you?
  Texto: I sent this program (Sparky) from
  anonymous places on the net
  Datos adjuntos: Jesse20.exe

  Asunto: Fwd: Mariss995
  Texto: There is only one good, knowledge,
  and one evil, ignorance.
  Datos adjuntos: Mariss995.exe

  Asunto: Re: The way I feel - Remy Shand
  Texto: Nein
  Datos adjuntos: Jordan6.pif

Además de ello, se envía a direcciones generadas al azar:

  [nombre]@[dominio]

[nombre] es seleccionado de una lista interna y el dominio
puede ser alguno de los siguientes:

  aol.com
  earthlink.com
  gte.net
  hotmail.com
  juno.com
  msn.com
  netzero.com
  yahoo.com

También envía copias a los usuarios conectados a los canales
de chat que visite la víctima.

Además, envía PINGS a diferentes servidores de IRC
(generalmente por el puerto TCP/6667). PING (Packet INternet
Groper) es un comando usado para comprobar las conexiones a
uno o más hosts remotos enviando un paquete de bytes que
normalmente es devuelto como un eco.

Cuando recibe una respuesta, se conecta a un canal usando
diferentes nombres de una lista interna, y espera las
instrucciones de un atacante, actuando como un BOT (copia de
un usuario en un canal de IRC, preparado para responder
ciertos comandos que se les envía en forma remota, de modo de
lograr múltiples acciones coordinadas en forma simultánea).

La lista de servidores IRC incluye:

  irc2p2pchat.net
  irc.idigital-web.com
  irc.cyberchat.org
  irc.othernet.org
  irc.beyondirc.net
  irc.chatx.net
  irc.cyberarmy.com
  irc.gameslink.net

Finalmente, el gusano intenta finalizar cualquier proceso
cuyo nombre contenga algunos de estos textos:

  ANTIV
  AVP
  F-PROT
  NMAIN
  SCAN
  TASKM
  VIRUS
  VSHW
  VSS


* Reparación manual

* Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


* Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los
siguientes archivos:

  c:\windows\ISERVC.KLG
  c:\windows\INITBAK.DAT
  c:\windows\ISERVC.EXE
  c:\windows\ISERVC.DLL
  c:\windows\PROGOP.EXE

Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".

Borre también los mensajes electrónicos similares al
descripto antes.


* Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

  HKEY_LOCAL_MACHINE
  \SOFTWARE
  \Microsoft
  \Windows
  \CurrentVersion
  \Run

3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:

  SystemInit

4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

  HKEY_CLASSES_ROOT
  \txtfile
  \shell
  \open
  \command

5. Pinche en la carpeta "command" y en el panel de la
derecha, bajo la columna "Nombre", y cambie el contenido de
(Predeterminado) por lo siguiente:

  (Predeterminado) = C:\WINDOWS\NOTEPAD.EXE %1

6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:

  HKEY_CLASSES_ROOT
  \Applications
  \ProgOp.exe

7. Pinche en la carpeta "ProgOp.exe" y bórrela.

8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).


* Información adicional

* El IRC y los virus

Se recomienda precaución al recibir archivos a través de los
canales de IRC. Sólo acepte archivos que usted ha pedido,
pero aún así, jamás los abra o ejecute sin revisarlos antes
con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar
respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su
configuración, funciones como "send" o "get" y comandos como
"/run" y "/dll". Si su software soporta cambiar la
configuración de "DCC" para transferencia de archivos,
selecciónelo para que se le pregunte siempre o para que
directamente se ignoren los pedidos de envío o recepción de
éstos.

Vea también:

Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm


* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".

3. Seleccione la lengüeta "Ver".

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".

En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".

6. Pinche en "Aplicar" y en "Aceptar".


* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

5 - ¡Gane su licencia gratis del antivirus NOD32!
_____________________________________________________________

¡Ya se entregaron tres licencias del antivirus Nod32!

IMPORTANTE: El viernes 2 de mayo no hubo sorteo de la lotería
uruguaya, por lo tanto el próximo Nod32 será sorteado con el
primer premio de la lotería de la próxima semana, el 9 de
mayo.

El anterior sorteo de la tercera de las cinco licencias del
antivirus Nod32, que VSAntivirus.com ha decidido compartir
con sus lectores para festejar la edición número 1000 de su
boletín, fue realizado el viernes 25 de abril.

Gracias a Ontinet.com, distribuidor exclusivo en España del
producto, Luis Parra de Chile, se hizo acreedor en esa
oportunidad de un paquete del antivirus Nod32. Estos son los
datos:

* Tercer ganador (25/abr/03):

- Primer premio lotería uruguaya viernes 25/abr/04: 11654
  http://www.loteria.gub.uy/loteria_20030425.htm

- Ganador por aproximación (11659):
  Luis Parra (Chile)
  Formulario enviado el 7/04/2003 19:25

* Segundo ganador (11/abr/03):

- Primer premio lotería uruguaya viernes 11/abr/04: 03469
  http://www.loteria.gub.uy/loteria_20030411.htm

- Ganador por aproximación (03400):
  Miguel Domínguez (España)
  Formulario enviado el 2/04/2003 15:43

* Primer ganador (4/abr/03):

- Primer premio lotería uruguaya viernes 4/abr/04: 03665
  http://www.loteria.gub.uy/loteria_20030404.htm

- Ganador por aproximación (03655):
  David León Magaña (México)
  Formulario enviado el 2/04/2003 18:56

El próximo viernes 9 de mayo sorteamos la cuarta licencia.


* Formulario de inscripción

1. Para participar en el sorteo de las dos licencias
restantes del antivirus Nod32 ingrese su dirección
electrónica, nombre y país en el formulario de la siguiente
página:

  http://www.vsantivirus.com/sorteo.htm

2. En un plazo no mayor de 12 horas, recibirá un número
generado al azar con el que participará. Dicho número es
único y será válido hasta la finalización del sorteo. Sin
embargo, se aceptará solo un acierto por número.

3. Cada fin de semana hasta completar el sorteo de las cinco
licencias, todo número coincidente con las cifras finales del
primer premio del sorteo semanal de la Lotería Uruguaya
(http://www.loteria.gub.uy/default.htm), se hará acreedor de
la licencia válida por un año de un paquete personal del
Antivirus Nod32, cedido a VSAntivirus por Ontinet.com, S.L,
distribuidor exclusivo en España del mismo.

4. En caso de no coincidir ningún número con el primer
premio, se hará acreedor el más cercano al mismo y se
publicará su nombre en nuestro sitio. Para evitar el SPAM, no
se mostrará su dirección de correo completa.

5. El ganador será avisado de los pasos siguientes para
hacerse de su premio. Su número no participará en el resto de
los sorteos hasta completar los cinco paquetes sorteados.

6. Podrán participar todos los suscritos a nuestro boletín, y
no se enviará más de un número por dirección suscrita.

7. Si la dirección electrónica utilizada no coincide con la
de un usuario registrado, no será enviado ningún número para
participar. Asegúrese de que la dirección es la misma que
figura al pie de cada boletín, donde dice : "Este boletín es
enviado a: [aquí va su dirección]"

8. Los sorteos se realizarán todos los viernes hasta entregar
las cinco licencias de Nod32.


* Más información:

Festejamos los 1000 regalando cinco licencias de Nod32
http://www.vsantivirus.com/sorteo-1000.htm

Ya tiene dueño otra licencia de Nod32
http://www.vsantivirus.com/ganadores.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

Pautas generales para mantenerse alejado de los virus
_____________________________________________________________

Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:

1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.

2) No abrir ningún mensaje ni archivo recibido a través del
correo  electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.

3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.

4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________

Sobre este boletín
_____________________________________________________________

La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.

Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.

Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________

Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________

Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:

jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________

VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________

Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja

También puede enviar un mensaje vacío a estas direcciones:

Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________

VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

VSantivirus No. 1036, Año 7, Viernes 9 de mayo de 2003



 


Sitio creado y diseñado por VideoSoft
© 1996-2014

VSAntivirus y VSAyuda son servicios gratuitos de VideoSoft Computación
Bergalli 462, Maldonado - Uruguay - Tels. (598)4222 2935, (598)4223 5177