| Asunto: | VSantivirus No. 1040, Año 7, Martes 13 de mayo de 2003 | | Fecha: | Martes, 13 de Mayo, 2003 20:01:36 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1040, Año 7, Martes 13 de mayo de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Ayude a Amina Lawal, no reenvíe esta carta
2 - Lovgate, un gusano que vuelve recargado
3 - El gusano Fizzer aumenta su nivel de incidencias
4 - W32/Lovgate.J. Gusano, troyano, virus. Se propaga rápido
5 - W32/Lovgate.I. Gusano, troyano y virus
6 - W32/Lovgate.K. Solo infecta en Windows NT, 2000 y XP
7 - ¡Gratis, obtenga su licencia del antivirus NOD32!
_____________________________________________________________
1 - Ayude a Amina Lawal, no reenvíe esta carta
_____________________________________________________________
http://www.vsantivirus.com/spam-amina.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Cuando en marzo de 2002 nos hacíamos eco de una de las
primeras cartas del tipo cadena, en que se pedía por la vida
de una joven mujer nigeriana condenada a la muerte por
lapidación (ver "¿Hoax?: No juguemos con la vida de Safiya",
http://www.vsantivirus.com/safiya.htm), además de afirmar que
el caso era real, dábamos nuestra opinión, siempre contraria
a que se reenvíe este tipo de mensajes, aún cuando ello se
haga con muy buenas intenciones.
Básicamente nuestra posición se resume en las razones que muy
bien expone Eugenio Siccardi en su sitio "Rompecadenas",
[http://www.rompecadenas.com.ar]:
- Poner nuestro nombre en un mail no es "firmarlo".
Cualquiera puede poner nuestro nombre, avalando incluso cosas
con las que no estamos de acuerdo.
- Nadie se tomará el trabajo de chequear si los miles de
personas que aparecen en estas cadenas existen realmente, si
su documento de identidad es el correcto, si realmente fue
esa persona quien "firmó" y si está de acuerdo con lo que
"firmó". Por lo tanto, nuestro nombre o cualquier nombre
inventado da lo mismo.
- En general, estas campañas son comenzadas por particulares
sin muchos recursos ni conocimientos. Resultado: si la
campaña no tiene mucho éxito, no se logra nada. Si la campaña
obtiene difusión, la dirección de mail de esta persona se
verá saturada y deberá darla de baja ante la imposibilidad de
procesar tal cantidad de información. Esto sucedió por
ejemplo con la campaña titulada Mujeres en Afganistán.
- Este tipo de campañas genera millones de mails rechazados
durante años.
- ¿Quién se beneficia con todo esto? Como siempre, los
spammers (nota de VSA: existe gente que realmente vive de
esta acción, la de coleccionar direcciones de correo válidas,
para luego venderlas a inescrupulosos que las usan para el
envío de toneladas de correo basura).
Hay otras formas de colaborar, o de protestar contra
acontecimientos como estos, pero ésta no lo es.
Justamente hoy hemos recibido otro mensaje, en donde se pide
exactamente lo contrario, que se dejen de enviar mensajes
solidarios (esta vez a favor de otra mujer acusada por un
delito parecido, Amina Lawal).
Más allá que la divulgación en si mismo de este otra carta,
también es algo que debemos evitar, lo importante en ella son
las razones esgrimidas para evitar usar el envío
indiscriminado de correo electrónico en forma de cadena para
solidarizarnos, como en este caso, por una causa que creemos
justa. Simplemente no es la forma, ni es el medio para
hacerlo.
Uno de las más importantes razones para que sea tan difícil
evitar esto, es que resulta mucho más cómodo hacer un clic en
un enlace que levantarnos de nuestra silla y hacer algo
verdaderamente útil. Debemos entender que un mensaje de
protesta o de solidaridad, enviado en cadena, es solo una
trampa para nuestra conciencia, a favor de nuestra propia
comodidad personal, pero jamás dará los resultados que
pensamos.
El caso de Amina Lawal debería hacernos pensar muy seriamente
en esto.
La información siguiente es real, y damos los enlaces
respectivos a los sitios en que surgió, al final del
artículo.
Reproducimos a continuación el texto tal como figura en la
página Web de una de las organizaciones involucradas.
Recordemos que existen al menos dos correos electrónicos que
se están propagando como cadenas electrónicas, uno en el que
se pide por la vida de Amina Lawal. El otro, en donde se nos
dice que no debemos hacerlo. Ninguno de los dos deben ser
reenviados, para evitar el SPAM, y por las razones que el
siguiente texto explica.
--- Comienzo del Texto original ---
[Fuente: http://www.mujeresenred.net/nigeria-baobab.html]
Cesad la campaña internacional de cartas de protesta a favor
de Amina Lawal
ZialdoKA vía Pititako Irratia/Mujeres en red, 2003-05-08
23:16
Os transmitimos un texto de ESPECIAL IMPORTANCIA que nos ha
hecho llegar la organización internacional "Mujeres viviendo
bajo Leyes Musulmanas" uno de los grupos internacionales
clave en la lucha contra los movimientos integristas
islámicos.
En esta nota se pide que POR FAVOR, CESE LA CAMPAÑA
INTERNACIONAL DE CARTAS DE PROTESTA A FAVOR DE AMINA LAWAL.
Para Mujeres en Red nuestras compañeras de WLUML tiene total
credibilidad. Conocemos desde hace años sus interesantes
publicaciones aportando lecturas no integristas de la
aplicación del Islam y sus Acciones de Alerta denunciando los
fundamentalismos practicados en los diferentes países
islámicos: Argelia, Pakistán, Arabia Saudí, Sudán, Irán, etc.
etc.
La organización ha sido también un puente fundamental entre
las mujeres occidentales y las mujeres del mundo musulmán
organizadas para defender los derechos humanos en el interior
de sus propios países.
Es el caso de la organización BAOBAB que lidera en Nigeria la
denuncia de la violación de los derechos humanos de las
mujeres y que está llevando a cabo en la práctica la defensa
de Amina Lawal.
Es esta organización quien firma la nota que os presentamos a
continuación y que dada la importancia del tema desde Mujeres
en Red hemos traducido al español con urgencia.
Desde Mujeres en Red efectivamente somos partidarias de la
movilización internacional en los casos en los que se estima
oportuno por estrategia de quienes están sobre el terreno. Es
una de las ventajas que nos proporciona la Internet...
mantener la conexión permanente en los diferentes puntos del
planeta y coordinar las reacciones inmediatas en caso de que
se estime oportuno. Pero para la fiabilidad de nuestras
redes, resulta fundamental el uso responsable y crítico del
medio.
Saludos y gracias a todas y todos por el apoyo.
Montserrat Boix
Coordinadora de Mujeres en Red
POR FAVOR, CESAD LA CAMPAÑA INTERNACIONAL DE CARTAS DE
PROTESTA A FAVOR DE AMINA LAWAL
2 DE MAY0 DE 2003
Versión en español traducida por Mujeres en Red/Yolanda
Sobero
Original en ingles:
http://www.wluml.org/english/new-archives/nigeria/amina-lawal-summary-0802.htm
Queridos amigas/os:
Ha existido un sinnúmero de campañas y de cartas respecto a
Amina Lawal (condenada a morir lapidada por adulterio en
agosto de 2002). Muchas de ellas son inadecuadas e
inefectivas e incluso pueden dañar su causa y aquellas de
otras mujeres en situaciones similares.
La información que circula actualmente es inexacta y tales
campañas no ayudar a la situación en Nigeria, que es volátil.
Al final de esta carta, indicamos las vías mediante las
cuales pueden ayudarnos y esperamos poder contar con vuestro
continuo apoyo.
* Clarificación de los hechos
Primero, nos gustaría examinar algunos hechos que esperamos
que clarifiquen la situación. Contrariamente a la información
que circula ampliamente, la condena de Amina Lawal NO ha sido
sostenida por el Tribunal Supremo de Nigeria. La señora Lawal
fue primero condenada por el Tribunal Superior del Estado de
Katsina (norte de Nigeria).
Su apelación está actualmente en el Tribunal de la Sharia de
Apelación del Estado de Katsina. La siguiente audiencia de la
apelación ha sido fijada para el 3 de junio de 2003. Si la
apelación no prosperase, la señora Lawal podría apelar al
Tribunal Sharia de Apelación (Tribunal federal nigeriano).
Sólo si no triunfa en el Tribunal Federal de Apelación, el
caso del Lawal iría al Tribunal Supremo de Nigeria. En otras
palabras, el proceso está aún lejos de una inmediata
lapidación. Aunque la tensión de la señora es obviamente
considerable y penosa, ella no está en peligro inmediato de
una ejecución judicial.
Además, no se ha perdido ninguna de las apelaciones
presentadas por BAOBAB y las ONGs de apoyo local de Nigeria.
Todo el proceso de apelación ha tenido éxito. Una vez más, se
han ganado todas estas apelaciones en los tribunales Sharia
del estado, desde donde se elevarían al Tribunal Supremo.
(Sin embargo, insistimos en que aún queda trabajo por hacer
en este ámbito ya que a veces los jueces optan por anular en
base a tecnicismos, impidiendo así unas bases sustantivas de
las apelaciones.
También subrayamos que históricamente los Tribunales
Estatales Sharia de Apelación, y especialmente el Tribunal
Federal Sharia de Apelación, han aprobado sentencias que son
más equitativas con el género, en contrate con los Tribunales
inferiores, donde se han dictado todas las penas).
Contrariamente a los comunicados que han dado pie a muchas de
las campañas internacionales de peticiones y cartas de
protesta, no se ha producido ningún indulto como resultado de
la presión internacional. Ninguna de las víctimas ha sido
indultada.
Ninguna de las sentencias de lapidación se ha llevado a cabo.
Bien porque las apelaciones han tenido éxito o bien porque
las condenadas aún están en proceso de apelación.
* ¿Peligros de las campañas de cartas?
Sin embargo, si existiera algún peligro físico inmediato para
la señora Lawal y otros casos, éste procede de la
(sobre)reacción política y de vigilancia a los intentos de
presión internacional.
Esto ha sucedido ya en el caso de Bariya Magazu, una
adolescente soltera acusada de 'zina' (mantener relaciones
sexuales fuera del matrimonio) y condenada a ser azotada en
Zamfara en 1999. La sentencia de Magazu fue ejecutada, de
forma bastante ilegal, sin aviso, pese a las afirmaciones
previas del tribunal de que la sentencia no sería ejecutada
hasta por lo menos un año después.
La noche anterior se le informó de que sería realizada a
primera hora de la mañana siguiente ( y así no hubo forma de
ponerse en contacto con nadie para pedir ayuda, incluso en el
caso de que esta adolescente, sin escolarizar y pobre,
hubiera tenido acceso a un teléfono o conocimiento organizado
y experiencia), la burocracia estatal ha sido instruida para
obstruir y rechazar los papeles de apelación de los abogados
de BAOBAB.
La sentencia fue ejecutada de forma ilegal no pese a la
presión nacional e internacional, fue desafiada de forma
intencionada. El gobernador del Estado de Zamfara alardeó de
su resistencia a estas cartas procedentes de infieles. Por lo
tanto, nos gustaría que se reconociera que la campaña
internacional de cartas de protesta no es necesariamente
siempre la forma más eficaz de actuar.
Por el contrario, los defensores de los derechos de las
mujeres deberían valorar sus potenciales efectos
contraproducentes antes de planificar las estrategias.
* Problemas con las peticiones basadas en una información
inadecuada
Incluso cuando las protestas son formas adecuadas de acción,
cuando se basan en inexactitudes de hecho, son más fáciles de
ignorar. Las protestas y cartas que circulan basadas en
información inexacta pueden además agravar la situación en
lugar de ayudar, y dañar la credibilidad del movimiento
activista local , quién se entiende que ha facilitado esta
información.
Si recordamos que son las activistas locales quien en la
mayoría de los casos facilitan la introducción de los
derechos principales en la realidad cotidiana de la gente, el
reducir la capacidad y el potencial de éstas activistas
locales para promocionar y defender los derechos humanos y de
las mujeres es un modo contraproducente de actuación.
Por favor, verifique la veracidad de la información con el
movimiento activista local antes de difundir las peticiones o
responder a ellas.
* Estereotipos negativos representativos del Islam y de los
musulmanes
Los discursos del colonialismo dominante y los principales
medios de comunicación internacionales han presentado al
Islam ( y a África) como el Otro bárbaro y salvaje. Por
favor, no les haga caso. Los estereotipos aceptados que
presentan al Islam como incompatible con los derechos humanos
no sólo perpetúa el racismo sino que además confirma los
argumentos de los extremistas político-religiosos de derecha
en todo nuestro contexto.
Valoramos que muchos de los que se suman a las campañas de
cartas están motivados por el mismo sentido de solidaridad
internacional y feminista que lleva a BABOBAB a participar en
las acciones internacionales.
Pero cuando las cartas de protesta representan estereotipos
negativos del Islam y de los musulmanes, más que fomentar la
reflexión y reforzar los movimientos progresistas locales,
inflaman los ánimos. Pueden dar como resultado
comportamientos como el del gobernador del estado d e Zamfara
respecto a Bariya Magazu o incluso comportamientos más
amenazantes, hostiles y violentos por parte de los vigilantes
(en los actos extra-legales de los actores no estatales, como
las hordas de jóvenes desempleados que conforman el grueso de
los vigilantes).
En consecuencia, tales cartas pueden poner en peligro tanto a
las víctimas, que son fácilmente detectadas en sus
comunidades, como a activistas y abogadas que las apoyan (que
son particularmente vulnerables cuando tienen que pasar entre
multitudes hostiles de camino al juzgado, por ejemplo).
Los discursos musulmanes y la invocación del Islam pueden
utilizarse tanto para vindicar y proteger los derechos de las
mujeres en algunos lugares y situaciones como para violarlos
y restringirlos en otros sitios y ocasiones como en este
caso. Lo mismo puede decirse de otras muchas religiones y
discursos ( por ejemplo, el cristianismo, el capitalismo, el
socialismo, la modernización, por nombrar unos pocos).
Para nosotras la cuestión es preguntar quién invoca al Islam
(o cualquier otra creencia / discurso), con qué fines, y
además reconocer y apoyar a los disidentes dentro de la
comunidad involucrada más que sumarnos a una condena
generalizada de las creencias y culturas, la cual rara vez es
adecuada o efectiva para cambiar los puntos de vista dentro
de la comunidad afectada. Por favor, sea sensible a estas
cuestiones en cualquier carta de protesta que escriba.
* Apoyo a las presiones locales
Existe un lugar para la presión y las campañas
internacionales. No queremos plantear que no sea importante
realizar una campaña internacional. Sin embargo el uso de las
peticiones de protesta internacional como respuesta
automática reduce su utilidad como herramienta de defensa.
Creemos que ahora no es el momento oportuno para realizar una
campaña internacional de cartas de protesta, pero nos
preocupa que la situación cambie y que cuando necesitemos la
presión internacional y pidamos el apoyo internacional,
entonces la energía moral y la indignación del mundo haya
agotado el efecto como resultado de la fatiga por la campaña.
Las campañas internacionales de cartas tienen un potencial
específico que puede ser espectacularmente exitoso (como en
el caso de Fátima Yacoub en Chad a mediados de los años 90).
Sin embargo no es oportuna en este momento.
El caso de Amina no es un caso individual. No todos los casos
de condena han merecido titulares en los medios
internacionales ni siquiera en los nacionales. Todos ellos no
pueden convertirse en causas célebres y en temas para cartas
de protestas. (Muy poca gente conoce el nombre de Hafsatu
Abubakar, la primera mujer absuelta tras apelar una sentencia
a morir lapidada, ni el nombre de otras 8 mujeres y 10
jóvenes cuyos casos lleva en este momento BAOBAB, por
ejemplo).
La prioridad es el uso de las estructuras y mecanismos
locales (como medio para resistir las leyes retrógradas o las
interpretaciones de las leyes y de las fuerzas que están
detrás). Los islamistas políticos y los vigilantes amenazan
(y realizan) actos de violencia contra quienes les critican
con el fin de intimidar a la gente. Pero también han
difundido argumento de que cualquier crítica o apelación de
la condena es antiislámica y equivale a apostasía y, por lo
tanto, intentan mantener a la gente sometida pacíficamente y
voluntariamente.
Uno de los medios de oposición es nuestra posibilidad de
presentar apelaciones en el sistema de la Sharia y, por lo
tanto, demostrar que la gente tiene derecho a apelar y hacer
frente a las injusticias, incluidas aquellas que se realizan
en nombre del Islam.
Cada apelación en los tribunales de la sharia locales
fortalece este proceso. Desde los primeros casos, el de
Bariya Magazu (en el que BAOBAB tuvo que convencer a su
familia y varios líderes de opinión de la aldea para que
aceptasen una apelación) y el caso Jangedi (en el que un
hombre acusado de robo se negó a apelar y le fue amputada su
mano), muchas víctimas ya no se conforman con las injusticias
sino que buscan ayuda.
Además, tanto en el caso de Safia Husseini Tungar-Tudu como
en el de Amina Lawal, los miembros de sus comunidades han
hablado del abuso de la Sharia y han realizado acciones para
protegerlas de los vigilantes locales. Estas son las acciones
que no sucedían cuando BAOBAB comenzó su trabajo en 1999. En
esa época ni siquiera resultaba fácil encontrar un abogado de
la comunidad musulmana dispuesto a representar a la víctima.
Las apelaciones ganadas en los tribunales de la Sharia, como
nosotras y otras han hecho, establecen que no pueden
ejecutarse las condenas. Un indulto significa que la gente es
culpable pero el estado les perdona, lo que no posee la misma
resonancia moral y política. Un indulto, percibido como
resultado de una presión exterior convence incluso menos a la
comunidad de que sea justo. Si no queremos que tales abusos
continúen tenemos que convencer a la comunidad de que no
acepte las injusticias, incluso cuando se realizan en nombre
de creencias fuertemente arraigadas.
* Decisión de las estrategias para combatir las injusticias
Pedimos estrategias de solidaridad internacional que respeten
los análisis y las acciones de aquellas activistas
involucradas más de cerca y en consonancia con las cuestiones
de base y los deseos de las mujeres y hombres que sufren de
forma directa las violaciones de sus derechos.
Los grupos locales en Nigeria que representan directamente a
las víctimas (a la cabeza de los cuales están BAOBAB para los
Derechos Humanos de las Mujeres y WRAPA Agencia para la
Protección y Avance de los Derechos de las Mujeres) han
pedido de forma explícita que NO se realicen campañas
internacionales de cartas. Cuando las víctimas de los abusos
de los derechos humanos permanecen incomunicadas entonces
cada uno puede claramente actuar según sus propias creencias
para intentar ayudarlas.
Tal no es la situación. Las víctimas no están detenidas (en
realidad conceden entrevistas a la prensa). Han elegido
apelar y aceptar la asistencia de la s ONG como BAOBAB, WRAPA
y las redes de ONG nigerianas de mujeres y de Derechos
Humanos que las apoyan.
Existe una arrogancia perjudicial en presuponer que las
organizaciones internacionales de Derechos Humanos u otras
siempre saben más que las directamente involucradas y que,
por lo tanto, pueden realizar acciones en contra de sus
deseos expresos. Desde luego, siempre existe la posibilidad
de que aquellos directamente involucrados estén equivocados
pero seguramente la línea de acción es persuadirles de la
corrección de los análisis y estrategias de uno, más que
ignorar sus deseos.
Ellos al menos tienen que vivir directamente con las
consecuencias de cualquier decisión equivocada que tomen. Por
favor, contacte con cuyos derechos han sido violados y/o los
grupos locales directamente involucrados para debatir las
estrategias de solidaridad y apoyo antes de lanzar las
campañas.
* ¿Cómo pueden ayudar la gente y otras organizaciones?
De forma inmediata, se necesitan recursos (dinero, pero no
sólo dinero) para apoyar directamente tanto a las víctimas
como para los procesos de apelación. Casi todas las víctimas
son pobres y la mayoría además viven en zonas rurales y se
han topado con que sus vidas y trabajo y los de sus
familiares están desbaratados.
Económicamente están afectadas, así como bajo una
considerable presión social. Con frecuencia su salud (física
y psíquica) se resiente como consecuencia de la presión.
Puede ser necesario considerar un asilo seguro (teniendo en
cuenta cuestiones como documentos de viaje, visados, costes y
cómo reaccionará la burocracia gubernamental).
Se necesitan recursos para las necesidades de las víctimas,
de los que mantienen y familias, para afrontar las
consecuencias de la presión (apoyo de consuelo, tratamientos
médicos y medicinas) y afrontarlas de forma segura.
También está el problema de los costes de la apelación.
Obviamente, existen gastos legales, que incluyen las costas
del tribunal y los honorarios del abogado (no todos los
abogados están dispuestos o son capaces económicamente de
trabajar completamente gratis. Incluso cuando donan su
especialización, pueden tener que pagar por las citaciones
del tribunal y los gastos de viaje y manutención).
También se incluyen los gastos de toda una serie de costes
asociados. La apelación es intensa en lo personal y larga en
el tiempo. Los activistas tienen que contactar con los medios
de comunicación y las redes locales para encontrar a las
víctimas, viajar para ofrecerles apoyo, acordar y participar
en las sesiones de estrategia (incluso si la mayor parte de
estos viajes son nacionales), preparar la argumentación y la
documentación, viajar al tribunal con las víctimas,
comprometerse en apoyar a la víctima (debatir su situación y
las posibles opciones y ramificaciones), enfrentarse con
posibles consecuencias como la pérdida de tierras o la
enfermedad, proporcionar apoyo emocional, contactar con las
redes de apoyo locales e internacionales, eso sin mencionar
los informes escritos y análisis constantemente solicitados.
A las activistas de los derechos de las mujeres que trabajan
en estos temas desde hace tiempo para recibir el apoyo de
abogadas progresistas, estudiosos islámicos, activistas en
pro de los derechos de toda Nigeria, el mundo musulmán y de
otros lugares, en la forma de argumentaciones legales y
religiosas (fiqh), precedentes legales y estrategias
generosamente compartidas, nos gustaría reconocer esta ayuda
y apoyo (ha sido muy útil y probablemente nunca será
suficiente).
A largo plazo, existen dos necesidades que cubrir: la
construcción de la cultura de reconocimiento de los derechos
y combate de las violaciones en los ámbitos local y nacional
y el desarrollo de argumentos y trabajo legal para cambiar
las leyes, los requisitos de prueba y procedimientos.
En suma, es urgentemente y necesario financiar organizaciones
creíbles que realicen tanto el trabajo a corto como a largo
plazo.
También son muy útiles los intercambios de información,
experiencias y conocimiento de situaciones similares.
También puede ser necesaria la oferta práctica de sitios
seguros fuera de la comunidad, dentro de Nigeria, o fuera de
Nigeria.
Finalmente, por favor, difunda este mensaje ampliamente,
incluidos todas listas y redes en las que han circulado
peticiones basadas en información inexacta. Sería útil que
compartiese y debatiese este mensaje con otras/os activistas
y organizaciones que han demostrado su solidaridad con estos
casos.
Respetuosamente
Ayesha Imam (miembro)
ayesha@baobab.com.ng
Sindi Medar-Gould (directora ejecutiva)
* BAOBAB por los Derechos Humanos de las Mujeres.
BAOBAB por los Derechos Humanos de las Mujeres ha estado
estrechamente involucrada en la defensa de los derechos de
las mujeres, hombres y niños en el derecho musulmán
consuetudinario y secular y, en particular, en aquellos
condenados bajo la nueva legislación Sharia Penal, en vigor
desde 2000 en Nigeria.
De hecho, BAOBAB fue la primera ( y durante meses, la única)
ONG con miembros de la comunidad musulmana, que desean hablar
públicamente contra las versiones retrógradas de las leyes
musulmanas y trabajan para cambiar la consideración
conservadora dominante de los derechos de la mujer
contemplados en la Sharia (leyes religiosas musulmanas) así
como en las leyes consuetudinarias y seculares.
BAOBAB fue también la primera, y de nuevo durante algún
tiempo la única ONG que localiza a las víctimas y apoya sus
apelaciones, consigue fondos para los costes y reúne un
equipo de estrategia de activistas de derechos humanos y de
las mujeres, abogados, estudiosos islámicos que aportan
voluntariamente su experiencia y tiempo.
BAOBAB para los Derechos Humanos de las Mujeres recibió en
2002 el Premio Libertad John Humphrey por su trabajo. La
labor de BAOBAB también ha sido citada recientemente por la
Relatora Especial sobre la Violencia contra las Mujeres como
ejemplo de la mejor práctica.
Si desea apoyar el trabajo de BAOBAB por los Derechos Humanos
de las Mujeres, por favor envíe un talón u orden de pago
internacional a:
A/ BAOBAB/WLUML-AME Legal Defence Fund (apoya los gastos
inmediatos de las víctimas y del proceso de apelación) y/o
B/ BAOBAB /WLUML-AME Rights Advocacy Fund (apoya el trabajo a
largo plazo respecto a las criticas de los derechos en las
leyes musulmanas, así como en las consuetudinarias y
seculares y trabaja en las reconstrucción de los derechos en
el derecho y en la práctica) y /o
C/ BAOBAB/WLUML-AME Core Fuding (permite el uso flexible de
que aún debe ser afrontado y difundido)
Debe ser enviado a
BAOBAB for Women's Human Rights
PO Box 73630
Victoria Island
Lagos (Nigeria)
O
BAOBAB for Women's Human Rights
PMB 134,
1333A Norh Avenue
New Rochelle
NY 10804
USA
O
BAOBAB for Women's Human Rights
PO Box 28445
London N19 5JT
UK
--- Final del Texto original ---
Las direcciones son reales, y no se trata de un engaño.
Los siguientes enlaces están relacionados con este tema:
Nigeria: Información falsa respecto a la campaña de Amnistía
Internacional sobre Amina Lawal
http://web.amnesty.org/library/Index/ESLAFR440132003?open&of=ESL-NGA
Nigeria: Please Stop The International Amina Lawal Protest
Letter Campaigns
http://www.wluml.org/english/new-archives/nigeria/amina-lawal-summary-0802.htm
Por Favor, Cesad La Campaña Internacional De Cartas De
Protesta A Favor De Amina Lawal
http://www.mujeresenred.net/nigeria-baobab.html
¿Hoax?: No juguemos con la vida de Safiya
http://www.vsantivirus.com/safiya.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Lovgate, un gusano que vuelve recargado
_____________________________________________________________
http://www.vsantivirus.com/13-05-03.htm
Lovgate, un gusano que vuelve recargado
Por Jose Luis Lopez
videosoft@videosoft.net.uy
El gusano Lovgate fue detectado por primera vez en febrero de
2003, y actualmente existen 12 o 13 versiones. Este número
varía de acuerdo a cada fabricante de antivirus, puesto que
algunas versiones con pequeñas modificaciones, son detectadas
con diferentes nombres. Las últimas tres o cuatro (cinco
según Kaspersky), surgieron hace apenas algunas horas (13 de
mayo de 2003).
Aunque los fabricantes no se ponen de acuerdo en su número,
casi todos coinciden en que la versión conocida como "J" por
la mayoría es la que más se ha propagado. Todas las versiones
lo hacen vía e-mail y redes de área local, y el gusano solo
infecta una computadora si el usuario ejecuta el archivo
infectado, tanto en su forma de adjunto a un mensaje, como
copiado a un recurso compartido en una red.
Este gusano, instala un programa espía en la computadora
infectada, lo que le permite a un intruso no solo robar
información confidencial de la víctima, sino también tomar el
control de su PC.
Las últimas cuatro o cinco versiones, como vimos, se
distinguen por haber sido recompilados sobre un código fuente
modificado, presumiblemente por el propio autor. De esta
manera, no solo varía su apariencia, sino que logra eludir a
los antivirus que detectan sus versiones anteriores, al mismo
tiempo que mantiene su funcionalidad.
También actúa como virus, infectando ejecutables de Windows
en formato .EXE.
Según Kaspersky Labs y de acuerdo a la ubicación geográfica
de los primeros reportes de estas nuevas versiones, la
propagación del gusano ha sido bastante rápida,
principalmente en Europa y los Estados Unidos.
Sin embargo, como en el caso del Fizzer, las incidencias en
países de habla hispana ha sido menor.
De cualquier modo, se reitera la necesidad de mantener
actualizados sus antivirus, ya que las nuevas versiones solo
son identificadas por las bases de datos generadas en el día
de hoy, 13 de mayo de 2003.
En VSAntivirus.com se pueden encontrar las descripciones de
aquellas versiones que tengan diferencias importantes entre
si. Las que no figuran, son pequeñas variantes que no hacen
diferencia a la hora de identificarlas correctamente.
* Relacionados:
W32/Lovgate.A. Gusano y caballo de Troya
http://www.vsantivirus.com/lovgate-a.htm
W32/Lovgate.B. Gusano y caballo de Troya
http://www.vsantivirus.com/lovgate-b.htm
W32/Lovgate.C. Variante de gran propagación
http://www.vsantivirus.com/lovgate-c.htm
W32/Lovgate.D. Variante más primitiva del gusano
http://www.vsantivirus.com/lovgate-d.htm
W32/Lovgate.E. Se propaga por e-mail, responde mensajes
http://www.vsantivirus.com/lovgate-e.htm
W32/Lovgate.F. Responde correo con mensajes infectados
http://www.vsantivirus.com/lovgate-f.htm
W32/Lovgate.G (F). Nueva variante vía e-mail y redes
http://www.vsantivirus.com/lovgate-g.htm
W32/Lovgate.H. Nueva variante vía e-mail y redes
http://www.vsantivirus.com/lovgate-h.htm
W32/Lovgate.I. Gusano, troyano y virus
http://www.vsantivirus.com/lovgate-i.htm
W32/Lovgate.J. Gusano, troyano, virus. Se propaga rápido
http://www.vsantivirus.com/lovgate-j.htm
W32/Lovgate.K. Solo infecta en Windows NT, 2000 y XP
http://www.vsantivirus.com/lovgate-k.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - El gusano Fizzer aumenta su nivel de incidencias
_____________________________________________________________
http://www.vsantivirus.com/ev-13-05-03.htm
El gusano Fizzer aumenta su nivel de incidencias
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
En las últimas horas, las empresas fabricantes de antivirus
han elevado los niveles de alerta del gusano Win32/Fizzer.A.
Puede tener un nivel moderado en países de habla hispana.
Aunque la agencias internacionales [1] reportan que la mayor
alarma viene de países asiáticos, en donde Japón tendría la
mayor cantidad de infecciones, las estadísticas de las
propias empresas antivirus y organismos de prevención y
alerta, no reflejan exactamente esto en su información
oficial.
En España, el Centro de Alerta Temprana sobre Virus y
Seguridad Informática [2] lo muestra actualmente en un cuarto
puesto contando las últimas 24 horas (158 incidencias, 1.6%),
detrás de otros como Sircam (305, 3.2%), Sobig (536, 5.6%) y
Klez.H (7722, 80,3%).
Trend Micro [3], empresa de origen asiático, lo incluye en su
lista como quinto (274 incidencias), detrás del Datom.A
(278), BugBear (456), Funlove.4099 (1,078) y el Klez.H
(1,209).
Panda [4] solo advierte sobre un aumento que lo llevó de la
posición 40 a la 11 en las últimas horas.
Hispasec [5] también emitió en su boletín una advertencia,
donde informa que por el momento en España no existen grandes
incidencias. Para Hispasec los primeros focos importantes se
han detectado en Asia, desplazándose a USA y Europa en las
siguientes horas. También comenta que el hecho de que
"Fizzer" no utilice textos en español para presentarse podría
evitar mayores índices de infección en los países de habla
hispana, aunque advierte que será necesario estar atentos a
su progresión en las próximas horas.
En países como Argentina, Uruguay, Brasil o México, los
sitios VirusAttack! [6] y VSAntivirus [7] no reportan un
aumento notorio de incidencias, aunque si alertan sobre su
propagación.
En Ontinet.com [8], distribuidor exclusivo para España del
antivirus Nod32, hasta las primeras horas del martes 13,
ninguna incidencia ha sido reportada por parte de sus
usuarios.
El gusano Fizzer, se reenvía masivamente a través del correo
electrónico y afecta a todas las versiones del sistema
operativo Windows.
Llega como un gusano común mostrando varios asuntos y con
remitentes falsos, e intenta eliminar a los programas
antivirus instalados en la computadora de su víctima.
También ejecuta un componente que se conecta a los canales de
IRC, el cuál puede recibir comandos enviados por un atacante.
Esto permite que la computadora infectada sea controlada en
forma remota, para hacerla participar incluso en ataques de
denegación de servicio. No es necesario que el usuario tenga
un cliente de IRC instalado para que ello suceda.
Los adjuntos al correo electrónico pueden tener extensiones
.EXE, .PIF, .COM, o .SCR. El asunto, mensaje y archivo
adjunto se generan en forma aleatoria.
El gusano también puede propagarse a través de redes de
intercambio de archivos entre usuarios, como KaZaa y otros.
[Publicado con autorización de Enciclopedia Virus]
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en
VSAntivirus.com con la respectiva autorización. Los derechos
de republicación para su uso en otro medio, deberán
solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=129
Enlaces mencionados:
[1] http://cnnenespanol.com/2003/tec/05/12/nuevo.virus.reut/index.html
[2] http://www.alertaantivirus.es/
[3] http://www.trendmicro.com/
[4] http://www.pandasoftware.es/
[5] http://www.hispasec.com/
[6] http://virusattack.virusattack.com.ar/home/index.php3
[7] http://www.vsantivirus.com/
[8] http://www.ontinet.com/
Más información sobre el Win32/Fizzer.A
http://www.vsantivirus.com/fizzer-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - W32/Lovgate.J. Gusano, troyano, virus. Se propaga rápido
_____________________________________________________________
http://www.vsantivirus.com/lovgate-j.htm
Nombre: W32/Lovgate.J
Tipo: Gusano, caballo de Troya e infector de archivos
Alias: W32/Lovgate.J@m, W32.HLLW.Lovgate.J@mm,
Win32/Lovgate.J.Worm, W32/Lovgate.H@m, W32.HLLW.Lovgate.H@mm,
Win32/Lovgate.H.Worm, WORM_LOVGATE.J, PE_LOVGATE.J
Plataforma: Windows 32-bits
Tamaño: 127,488 bytes
Fecha: 13/may/03
Además de haber sido reescrito para algunas modificaciones en
su código, y recompilado, esta versión del Lovgate, además de
propagarse como gusano, y tener funciones de acceso remoto
del tipo backdoor, también actúa como virus, infectando
ejecutables.
Programado en Visual C++ y comprimido con la utilidad Aspack,
este gusano se propaga vía e-mail y a través de recursos
compartidos en redes, liberando en este último caso las
siguientes copias de si mismo en las carpetas compartidas con
acceso de lectura y escritura:
100 free essays school.pif
Age of empires 2 crack.exe
AN-YOU-SUCK-IT.txt.pif
Are you looking for Love.doc.exe
autoexec.bat
CloneCD + crack.exe
How To Hack Websites.exe
Mafia Trainer!!!.exe
MoviezChannelsInstaler.exe
MSN Password Hacker and Stealer.exe
Panda Titanium Crack.zip.exe
Sex_For_You_Life.JPG.pif
SIMS FullDownloader.zip.exe
Star Wars II Movie Full Downloader.exe
The world of lovers.txt.exe
Winrar + crack.exe
A través del correo electrónico, se envía a si mismo como
respuesta automática a todo mensaje recibido por el usuario
infectado en el Outlook y Outlook Express, con el siguiente
mensaje:
De: [nombre del usuario infectado]
Para:
Asunto: RE: [asunto original]
Texto:
"<nombre del usuario infectado>" wrote:
====
><Mensaje original>
>
====
[dominio del remitente] account auto-reply:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE [dominio del remitente] account now! <
Como archivo adjunto, uno de los siguientes:
Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif
El gusano también recoge direcciones de correo desde archivos
.HTML que busca en el directorio actual y en las carpetas
"Windows", y "Mis documentos", enviando un mensaje infectado
consigo mismo, a todas dichas direcciones. El mensaje enviado
puede ser cualquiera de los siguientes:
Asunto: Reply to this!
Texto: For further assistance, please contact!
Datos adjuntos: About_Me.txt.pif
Asunto: Let's Laugh
Texto: Copy of your message, including all the
headers is attached.
Datos adjuntos: driver.exe
Asunto: Last Update
Texto: This is the last cumulative update.
Datos adjuntos: Doom3 Preview!!!.exe
Asunto: for you
Texto: Tiger Woods had two eagles Friday during his
victory over Stephen Leaney. (AP Photo/Denis Poroy)
Datos adjuntos: enjoy.exe
Asunto: Great
Texto: Send reply if you want to be official beta
tester.
Datos adjuntos: YOU_are_FAT!.TXT.pif
Asunto: Help
Texto: This message was created automatically by mail
delivery software (Exim).
Datos adjuntos: Source.exe
Asunto: Attached one Gift for u..
Texto: It's the long-awaited film version of the
Broadway hit. Set in the roaring 20's, this is the story
of Chicago chorus girl Roxie Hart (Zellweger), who shoots
her unfaithful lover (West).
Datos adjuntos: Interesting.exe
Asunto: Hi
Texto: Adult content!!! Use with parental advisory.
Datos adjuntos: README.TXT.pif
Asunto: Hi Dear
Texto: Patrick Ewing will give Knick fans something to
cheer about Friday night.
Datos adjuntos: images.pif
Asunto: See the attachement
Texto: Send me your comments...
Datos adjuntos: Pics.ZIP.scr
Cuando se instala por primera vez, el gusano crea los
siguientes archivos:
C:\Windows\System\RAVMOND.exe
C:\Windows\System\WinDriver.exe
C:\Windows\System\WinGate.exe
C:\Windows\System\WinHelp.exe
C:\Windows\System\winrpc.exe
C:\Windows\system32\NetServices.exe
C:\Windows\system32\IEXPLORE.EXE
C:\Windows\system32\reg678.dll
C:\Windows\system32\Task688.dll
C:\Windows\ily668.dll
C:\Windows\kernel66.dll
C:\Windows\111.dll
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden
variar de acuerdo al sistema operativo instalado (con esos
nombres por defecto en Windows 9x/ME, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP).
Los archivos .DLL corresponden a los componentes troyanos del
gusano.
Se agrega al registro, creando las siguientes entradas. Esto
le permite autoejecutarse cada vez que Windows se reinicie:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinHelp = C:\Windows\System\WinHelp.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinGate initialize = C:\Windows\System\WinGate.exe -remoteshell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Remote Procedure Call Locator = RUNDLL32.EXE reg678.dll ondll_reg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Program In Windows = C:\Windows\system32\IEXPLORE.EXE
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\
CurrentVersion\Windows
run = RAVMOND.exe
Además modifica las entradas por defecto en la siguiente
clave del registro, de modo que se ejecuta cada vez que el
usuario intenta abrir un archivo de texto haciendo doble clic
sobre él (.TXT):
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Predeterminado) = winrpc.exe %1
El componente troyano que se encuentra en los archivos .DLL,
abre ciertos puertos e inmediatamente envía un mail de
notificación a un usuario remoto, avisándole que la
computadora infectada está conectada y puede ser accedida.
El troyano crea un hilo remoto con LSASS.EXE.
Mediante comandos enviados por el intruso a través del puerto
abierto, se puede obtener toda la información sensible de la
computadora atacada, además de poder modificar la
configuración del propio troyano.
Puede crear hasta 10 hilos simultáneos, que intentan
conectarse a otras máquinas remotas compartidas como IPC$ y
lanzar entonces un ataque de fuerza bruta para poder acceder
con nombre y usuario a las mismas. Para ello, utiliza una
lista de contraseñas predefinidas:
"!@#$"
"!@#$%"
"!@#$%^"
"!@#$%^&"
"!@#$%^&*"
"0 "
"000000"
"00000000"
"007"
"1"
"110"
"111"
"111111"
"11111111"
"12"
"121212"
"123"
"123123"
"1234"
"12345"
"123456"
"1234567"
"12345678"
"123456789"
"123abc"
"123asd"
"2002"
"2003"
"2600"
"321"
"54321"
"654321"
"666666"
"888888"
"88888888"
"a"
"aaa"
"abc"
"abc123"
"abcd"
"abcdef"
"abcdefg"
"admin"
"Admin"
"admin123"
"administrator"
"Administrator"
"alpha"
"asdf"
"asdfgh"
"computer"
"database"
"enable"
"god"
"godblessyou"
"guest"
"Guest"
"home"
"Internet"
"Login"
"login"
"love"
"mypass"
"mypass123"
"mypc"
"mypc123"
"oracle"
"owner"
"pass"
"passwd"
"password"
"Password"
"pc"
"pw"
"pw123"
"pwd"
"root"
"secret"
"server"
"sex"
"sql"
"super"
"sybase"
"temp"
"temp123"
"test"
"test123"
"win"
"xp"
"xxx"
"yxcv"
"zxcv"
Si el ataque tiene éxito, copia el archivo "NetServices.exe"
en la carpeta "\admin$\system32", y ejecuta dicho archivo
como servicio con el nombre de "Microsoft NetWork FireWall
Services".
Otro componente, WIN32VXD.DLL, es utilizado para el robo de
contraseñas, exportando la función "SetHook()" para localizar
en todos los procesos abiertos que contengan "@" y "<>", la
cadena "password" y "username".
La información obtenida es enviada a esta dirección:
helo_dll@163.com
Una vez activo en memoria, el gusano finaliza cualquier
proceso que contenga una de las siguientes cadenas, con la
intención de acabar con la ejecución de ciertos antivirus:
Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Symantec
El gusano también puede infectar archivos .EXE en todas las
unidades de disco duro, actuando como infector directo de
archivos ejecutables de Windows.
Los archivos infectados contienen tres componentes, el propio
infector, el archivo original, y el cuerpo del gusano
comprimido con la utilidad Aspack.
En cada infección, el virus queda "dormido" por una hora y 30
segundos, antes de continuar infectando otros archivos.
Cuando se ejecutan, se crean procesos separados para el
ejecutable "normal" y el gusano.
Esta versión registra este evento de Windows:
I-WORM-NEW-IPC-20168
Si dicho evento existe, significa que el gusano está en
memoria, y no vuelve a ejecutarse por segunda vez.
El gusano también intenta compartir una carpeta GAME creada
dentro de la carpeta de temporales de Windows, donde crea 10
archivos con nombre al azar y extensiones seleccionadas de la
siguiente lista:
.dat.exe
.gif.exe
.doc.exe
.avi.exe
.rm.exe
.htm.exe
.mp3.exe
.jpg.exe
.txt.exe
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones,
luego reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\Windows\System\RAVMOND.exe
C:\Windows\System\WinDriver.exe
C:\Windows\System\WinGate.exe
C:\Windows\System\WinHelp.exe
C:\Windows\System\winrpc.exe
C:\Windows\system32\NetServices.exe
C:\Windows\system32\IEXPLORE.EXE
C:\Windows\system32\reg678.dll
C:\Windows\system32\Task688.dll
C:\Windows\ily668.dll
C:\Windows\kernel66.dll
C:\Windows\111.dll
También borre la carpeta GAME y todo su contenido:
C:\Windows\TEMP\GAME
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\txtfile
\shell
\open
\command
3. Pinche en la carpeta "command" y en el panel de la derecha
busque la siguiente entrada:
(Predeterminado) = winrpc.exe %1
4. Haga doble clic sobre "(Predeterminado)", y cambie el
valor mostrado en el punto 3 (en "Información del valor") por
el siguiente:
C:\WINDOWS\NOTEPAD.EXE %1
5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre las siguientes entradas:
WinHelp
WinGate initialize
Remote Procedure Call Locator
Program In Windows
7. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\WindowsNT
\CurrentVersion
\Windows
8. Pinche en la carpeta "Windows" y en el panel de la derecha
busque y borre las siguientes entradas:
run
9. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - W32/Lovgate.I. Gusano, troyano y virus
_____________________________________________________________
http://www.vsantivirus.com/lovgate-i.htm
Nombre: W32/Lovgate.I
Tipo: Gusano, caballo de Troya e infector de archivos
Alias: W32/Lovgate.I@m, W32.HLLW.Lovgate.I@mm,
Win32/Lovgate.I.Worm, W32/Lovgate.H@m, W32.HLLW.Lovgate.H@mm,
Win32/Lovgate.H.Worm, WORM_LOVGATE.I, PE_LOVGATE.I
Plataforma: Windows 32-bits
Tamaño: 127,488 bytes
Fecha: 13/may/03
Además de haber sido reescrito para algunas modificaciones en
su código, y recompilado, esta versión del Lovgate, además de
propagarse como gusano, y tener funciones de acceso remoto
del tipo backdoor, también actúa como virus, infectando
ejecutables.
Programado en Visual C++ y comprimido con la utilidad Aspack,
este gusano se propaga vía e-mail y a través de recursos
compartidos en redes, liberando en este último caso las
siguientes copias de si mismo en las carpetas compartidas con
acceso de lectura y escritura:
100 free essays school.pif
Age of empires 2 crack.exe
AN-YOU-SUCK-IT.txt.pif
Are you looking for Love.doc.exe
autoexec.bat
CloneCD + crack.exe
How To Hack Websites.exe
Mafia Trainer!!!.exe
MoviezChannelsInstaler.exe
MSN Password Hacker and Stealer.exe
Panda Titanium Crack.zip.exe
Sex_For_You_Life.JPG.pif
SIMS FullDownloader.zip.exe
Star Wars II Movie Full Downloader.exe
The world of lovers.txt.exe
Winrar + crack.exe
A través del correo electrónico, se envía a si mismo como
respuesta automática a todo mensaje recibido por el usuario
infectado en el Outlook y Outlook Express, con el siguiente
mensaje:
De: [nombre del usuario infectado]
Para:
Asunto: RE: [asunto original]
Texto:
"<nombre del usuario infectado>" wrote:
====
><Mensaje original>
>
====
[dominio del remitente] account auto-reply:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE [dominio del remitente] account now! <
Como archivo adjunto, uno de los siguientes:
Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif
El gusano también recoge direcciones de correo desde archivos
.HTML que busca en el directorio actual y en las carpetas
"Windows", y "Mis documentos", enviando un mensaje infectado
consigo mismo, a todas dichas direcciones. El mensaje enviado
puede ser cualquiera de los siguientes:
Asunto: Reply to this!
Texto: For further assistance, please contact!
Datos adjuntos: About_Me.txt.pif
Asunto: Let's Laugh
Texto: Copy of your message, including all the
headers is attached.
Datos adjuntos: driver.exe
Asunto: Last Update
Texto: This is the last cumulative update.
Datos adjuntos: Doom3 Preview!!!.exe
Asunto: for you
Texto: Tiger Woods had two eagles Friday during his
victory over Stephen Leaney. (AP Photo/Denis Poroy)
Datos adjuntos: enjoy.exe
Asunto: Great
Texto: Send reply if you want to be official beta
tester.
Datos adjuntos: YOU_are_FAT!.TXT.pif
Asunto: Help
Texto: This message was created automatically by mail
delivery software (Exim).
Datos adjuntos: Source.exe
Asunto: Attached one Gift for u..
Texto: It's the long-awaited film version of the
Broadway hit. Set in the roaring 20's, this is the story
of Chicago chorus girl Roxie Hart (Zellweger), who shoots
her unfaithful lover (West).
Datos adjuntos: Interesting.exe
Asunto: Hi
Texto: Adult content!!! Use with parental advisory.
Datos adjuntos: README.TXT.pif
Asunto: Hi Dear
Texto: Patrick Ewing will give Knick fans something to
cheer about Friday night.
Datos adjuntos: images.pif
Asunto: See the attachement
Texto: Send me your comments...
Datos adjuntos: Pics.ZIP.scr
Cuando se instala por primera vez, el gusano crea los
siguientes archivos:
C:\Windows\System\RAVMOND.exe
C:\Windows\System\WinDriver.exe
C:\Windows\System\WinGate.exe
C:\Windows\System\WinHelp.exe
C:\Windows\System\winrpc.exe
C:\Windows\system32\NetServices.exe
C:\Windows\system32\IEXPLORE.EXE
C:\Windows\system32\reg678.dll
C:\Windows\system32\Task688.dll
C:\Windows\ily668.dll
C:\Windows\kernel66.dll
C:\Windows\111.dll
En todos los casos, "C:\Windows" y "C:\Windows\System" pueden
variar de acuerdo al sistema operativo instalado (con esos
nombres por defecto en Windows 9x/ME, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000 y
"C:\Windows\System32" en Windows XP).
Los archivos .DLL corresponden a los componentes troyanos del
gusano.
Se agrega al registro, creando las siguientes entradas. Esto
le permite autoejecutarse cada vez que Windows se reinicie:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinHelp = C:\Windows\System\WinHelp.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinGate initialize = C:\Windows\System\WinGate.exe -remoteshell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Remote Procedure Call Locator = RUNDLL32.EXE reg678.dll ondll_reg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Program In Windows = C:\Windows\system32\IEXPLORE.EXE
Además modifica las entradas por defecto en la siguiente
clave del registro, de modo que se ejecuta cada vez que el
usuario intenta abrir un archivo de texto haciendo doble clic
sobre él (.TXT):
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Predeterminado) = winrpc.exe %1
El componente troyano que se encuentra en los archivos .DLL,
abre ciertos puertos e inmediatamente envía un mail de
notificación a un usuario remoto, avisándole que la
computadora infectada está conectada y puede ser accedida.
El troyano crea un hilo remoto con LSASS.EXE.
Mediante comandos enviados por el intruso a través del puerto
abierto, se puede obtener toda la información sensible de la
computadora atacada, además de poder modificar la
configuración del propio troyano.
Puede crear hasta 10 hilos simultáneos, que intentan
conectarse a otras máquinas remotas compartidas como IPC$ y
lanzar entonces un ataque de fuerza bruta para poder acceder
con nombre y usuario a las mismas. Para ello, utiliza una
lista de contraseñas predefinidas:
"!@#$"
"!@#$%"
"!@#$%^"
"!@#$%^&"
"!@#$%^&*"
"0 "
"000000"
"00000000"
"007"
"1"
"110"
"111"
"111111"
"11111111"
"12"
"121212"
"123"
"123123"
"1234"
"12345"
"123456"
"1234567"
"12345678"
"123456789"
"123abc"
"123asd"
"2002"
"2003"
"2600"
"321"
"54321"
"654321"
"666666"
"888888"
"88888888"
"a"
"aaa"
"abc"
"abc123"
"abcd"
"abcdef"
"abcdefg"
"admin"
"Admin"
"admin123"
"administrator"
"Administrator"
"alpha"
"asdf"
"asdfgh"
"computer"
"database"
"enable"
"god"
"godblessyou"
"guest"
"Guest"
"home"
"Internet"
"Login"
"login"
"love"
"mypass"
"mypass123"
"mypc"
"mypc123"
"oracle"
"owner"
"pass"
"passwd"
"password"
"Password"
"pc"
"pw"
"pw123"
"pwd"
"root"
"secret"
"server"
"sex"
"sql"
"super"
"sybase"
"temp"
"temp123"
"test"
"test123"
"win"
"xp"
"xxx"
"yxcv"
"zxcv"
Si el ataque tiene éxito, copia el archivo "NetServices.exe"
en la carpeta "\admin$\system32", y ejecuta dicho archivo
como servicio con el nombre de "Microsoft NetWork FireWall
Services".
Otro componente, WIN32VXD.DLL, es utilizado para el robo de
contraseñas, exportando la función "SetHook()" para localizar
en todos los procesos abiertos que contengan "@" y "<>", la
cadena "password" y "username".
La información obtenida es enviada a esta dirección:
helo_dll@163.com
Una vez activo en memoria, el gusano finaliza cualquier
proceso que contenga una de las siguientes cadenas, con la
intención de acabar con la ejecución de ciertos antivirus:
Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Symantec
El gusano también puede infectar archivos .EXE en todas las
unidades de disco duro, actuando como infector directo de
archivos ejecutables de Windows.
Los archivos infectados contienen tres componentes, el propio
infector, el archivo original, y el cuerpo del gusano
comprimido con la utilidad Aspack.
En cada infección, el virus queda "dormido" por una hora y 30
segundos, antes de continuar infectando otros archivos.
Cuando se ejecutan, se crean procesos separados para el
ejecutable "normal" y el gusano.
Esta versión registra estos dos eventos de Windows:
I---WORM---IPC---20168
I-WORM-Local-Remote-20168 Running!
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones,
luego reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\Windows\System\RAVMOND.exe
C:\Windows\System\WinDriver.exe
C:\Windows\System\WinGate.exe
C:\Windows\System\WinHelp.exe
C:\Windows\System\winrpc.exe
C:\Windows\system32\NetServices.exe
C:\Windows\system32\IEXPLORE.EXE
C:\Windows\system32\reg678.dll
C:\Windows\system32\Task688.dll
C:\Windows\ily668.dll
C:\Windows\kernel66.dll
C:\Windows\111.dll
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\txtfile
\shell
\open
\command
3. Pinche en la carpeta "command" y en el panel de la derecha
busque la siguiente entrada:
(Predeterminado) = winrpc.exe %1
4. Haga doble clic sobre "(Predeterminado)", y cambie el
valor mostrado en el punto 3 (en "Información del valor") por
el siguiente:
C:\WINDOWS\NOTEPAD.EXE %1
5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre las siguientes entradas:
WinHelp
WinGate initialize
Remote Procedure Call Locator
Program In Windows
7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
6 - W32/Lovgate.K. Solo infecta en Windows NT, 2000 y XP
_____________________________________________________________
http://www.vsantivirus.com/lovgate-k.htm
Nombre: W32/Lovgate.K
Tipo: Gusano, caballo de Troya e infector de archivos
Alias: Win32/Lovgate.K, W32.HLLW.Lovgate.J@mm,
WORM_LOVGATE.K, PE_LOVGATE.K
Plataforma: Windows NT, 2000 y XP.
Tamaño: 127,488 bytes
Fecha: 13/may/03
Además de haber sido reescrito para algunas modificaciones en
su código, y recompilado, esta versión del Lovgate, además de
propagarse como gusano, y tener funciones de acceso remoto
del tipo backdoor, también actúa como virus, infectando
ejecutables.
Esta versión solo funciona en Windows NT, 2000 y XP, debido a
que requiere la presencia de la librería NTDLL.DLL, propia de
estos sistemas.
Programado en Visual C++ y comprimido con la utilidad Aspack,
este gusano se propaga vía e-mail y a través de recursos
compartidos en redes, liberando en este último caso las
siguientes copias de si mismo en las carpetas compartidas con
acceso de lectura y escritura:
100 free essays school.pif
Age of empires 2 crack.exe
AN-YOU-SUCK-IT.txt.pif
Are you looking for Love.doc.exe
autoexec.bat
CloneCD + crack.exe
How To Hack Websites.exe
Mafia Trainer!!!.exe
MoviezChannelsInstaler.exe
MSN Password Hacker and Stealer.exe
Panda Titanium Crack.zip.exe
Sex_For_You_Life.KPG.pif
SIMS FullDownloader.zip.exe
Star Wars II Movie Full Downloader.exe
The world of lovers.txt.exe
Winrar + crack.exe
A través del correo electrónico, se envía a si mismo como
respuesta automática a todo mensaje recibido por el usuario
infectado en el Outlook y Outlook Express, con el siguiente
mensaje:
De: [nombre del usuario infectado]
Para:
Asunto: RE: [asunto original]
Texto:
"<nombre del usuario infectado>" wrote:
====
><Mensaje original>
>
====
[dominio del remitente] account auto-reply:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE [dominio del remitente] account now! <
Como archivo adjunto, uno de los siguientes:
Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif
El gusano también recoge direcciones de correo desde archivos
.HTML que busca en el directorio actual y en las carpetas
"Windows", y "Mis documentos", enviando un mensaje infectado
consigo mismo, a todas dichas direcciones. El mensaje enviado
puede ser cualquiera de los siguientes:
Asunto: Reply to this!
Texto: For further assistance, please contact!
Datos adjuntos: About_Me.txt.pif
Asunto: Let's Laugh
Texto: Copy of your message, including all the
headers is attached.
Datos adjuntos: driver.exe
Asunto: Last Update
Texto: This is the last cumulative update.
Datos adjuntos: Doom3 Preview!!!.exe
Asunto: for you
Texto: Tiger Woods had two eagles Friday during his
victory over Stephen Leaney. (AP Photo/Denis Poroy)
Datos adjuntos: enjoy.exe
Asunto: Great
Texto: Send reply if you want to be official beta
tester.
Datos adjuntos: YOU_are_FAT!.TXT.pif
Asunto: Help
Texto: This message was created automatically by mail
delivery software (Exim).
Datos adjuntos: Source.exe
Asunto: Attached one Gift for u..
Texto: It's the long-awaited film version of the
Broadway hit. Set in the roaring 20's, this is the story
of Chicago chorus girl Roxie Hart (Zellweger), who shoots
her unfaithful lover (West).
Datos adjuntos: Interesting.exe
Asunto: Hi
Texto: Adult content!!! Use with parental advisory.
Datos adjuntos: README.TXT.pif
Asunto: Hi Dear
Texto: Patrick Ewing will give Knick fans something to
cheer about Friday night.
Datos adjuntos: images.pif
Asunto: See the attachement
Texto: Send me your comments...
Datos adjuntos: Pics.ZIP.scr
Cuando se instala por primera vez, el gusano crea los
siguientes archivos:
C:\Windows\System32\IEXPLORE.EXE
C:\Windows\System32\Kernel66.DLL
C:\Windows\System32\RAVMOND.EXE
C:\Windows\System32\WinDriver.EXE
C:\Windows\System32\WinEXE.EXE
C:\Windows\System32\WinGate.EXE
C:\Windows\System32\111.DLL
C:\Windows\System32\ILY668.DLL
C:\Windows\System32\Reg678.DLL
C:\Windows\System32\Task688.DLL
C:\Windows\System32\Win32VXD.DLL
En todos los casos, "C:\Windows" y "C:\Windows\System32"
pueden variar de acuerdo al sistema operativo instalado (con
esos nombres por defecto en Windows XP, como "C:\WinNT",
"C:\WinNT\System32" en Windows NT/2000.
Los archivos .DLL corresponden a los componentes troyanos del
gusano.
Se agrega al registro, creando las siguientes entradas. Esto
le permite autoejecutarse cada vez que Windows se reinicie:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\
CurrentVersion\Windows
run = RAVMOND.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinGate initialize = C:\Windows\System32\WinGate.exe -remoteshell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Remote Procedure Call Locator = RUNDLL32.EXE reg678.dll ondll_reg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Program In Windows = C:\Windows\system32\IEXPLORE.EXE
Además modifica las entradas por defecto en la siguiente
clave del registro, de modo que se ejecuta cada vez que el
usuario o el sistema ejecutan un archivo con extensión .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Predeterminado) = C:\Windows\System32\WinEXE.EXE "%1" %*
El componente troyano que se encuentra en los archivos .DLL,
abre ciertos puertos e inmediatamente envía un mail de
notificación a un usuario remoto, avisándole que la
computadora infectada está conectada y puede ser accedida.
Mediante comandos enviados por el intruso a través del puerto
abierto, se puede obtener toda la información sensible de la
computadora atacada, además de poder modificar la
configuración del propio troyano.
Puede crear hasta 10 hilos simultáneos, que intentan
conectarse a otras máquinas remotas compartidas como IPC$ y
lanzar entonces un ataque de fuerza bruta para poder acceder
con nombre y usuario a las mismas. Para ello, utiliza una
lista de contraseñas predefinidas:
"!@#$"
"!@#$%"
"!@#$%^"
"!@#$%^&"
"!@#$%^&*"
"0 "
"000000"
"00000000"
"007"
"1"
"110"
"111"
"111111"
"11111111"
"12"
"121212"
"123"
"123123"
"1234"
"12345"
"123456"
"1234567"
"12345678"
"123456789"
"123abc"
"123asd"
"2002"
"2003"
"2600"
"321"
"54321"
"654321"
"666666"
"888888"
"88888888"
"a"
"aaa"
"abc"
"abc123"
"abcd"
"abcdef"
"abcdefg"
"admin"
"Admin"
"admin123"
"administrator"
"Administrator"
"alpha"
"asdf"
"asdfgh"
"computer"
"database"
"enable"
"god"
"godblessyou"
"guest"
"Guest"
"home"
"Internet"
"Login"
"login"
"love"
"mypass"
"mypass123"
"mypc"
"mypc123"
"oracle"
"owner"
"pass"
"passwd"
"password"
"Password"
"pc"
"pw"
"pw123"
"pwd"
"root"
"secret"
"server"
"sex"
"sql"
"super"
"sybase"
"temp"
"temp123"
"test"
"test123"
"win"
"xp"
"xxx"
"yxcv"
"zxcv"
Si el ataque tiene éxito, copia el archivo "NetServices.exe"
en la carpeta "\admin$\system32", y ejecuta dicho archivo
como servicio con el nombre de "Microsoft NetWork FireWall
Services".
Otro componente, WIN32VXD.DLL, es utilizado para el robo de
contraseñas, exportando la función "SetHook()" para localizar
en todos los procesos abiertos que contengan "@" y "<>", la
cadena "password" y "username".
La información obtenida es enviada a esta dirección:
helo_dll@163.com
Una vez activo en memoria, el gusano finaliza cualquier
proceso que contenga una de las siguientes cadenas, con la
intención de acabar con la ejecución de ciertos antivirus:
Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Symantec
El gusano también puede infectar archivos .EXE en todas las
unidades de disco duro, actuando como infector directo de
archivos ejecutables de Windows.
Los archivos infectados contienen tres componentes, el propio
infector, el archivo original, y el cuerpo del gusano
comprimido con la utilidad Aspack.
En cada infección, el virus queda "dormido" por una hora y 30
segundos, antes de continuar infectando otros archivos.
Cuando se ejecutan, se crean procesos separados para el
ejecutable "normal" y el gusano.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones,
luego reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\Windows\System32\IEXPLORE.EXE
C:\Windows\System32\Kernel66.DLL
C:\Windows\System32\RAVMOND.EXE
C:\Windows\System32\WinDriver.EXE
C:\Windows\System32\WinEXE.EXE
C:\Windows\System32\WinGate.EXE
C:\Windows\System32\111.DLL
C:\Windows\System32\ILY668.DLL
C:\Windows\System32\Reg678.DLL
C:\Windows\System32\Task688.DLL
C:\Windows\System32\Win32VXD.DLL
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
Primero debe renombrar el archivo REGEDIT.EXE como
REGEDIT.COM, ya que la extensión .EXE está asociada al
troyano, y éste se volvería a cargar si ejecutamos REGEDIT en
forma normal.
1. Ejecute un antivirus actualizado y anote los archivos del
troyano detectados
2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar
cortar y pegar) y pulse Enter:
Command /c Rename C:\Windows\Regedit.exe Regedit.com
Si Windows no está instalado en C:\WINDOWS, debe cambiar esta
referencia (Ej.: C:\NOMBRE\REGEDIT.EXE, etc.).
3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter
4. En el panel izquierdo del editor de registro de Windows,
pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\exefile
\shell
\open
\command
5. Pinche sobre la carpeta "command". En el panel de la
derecha debería ver algo como:
Nombre Datos
(Predeterminado) C:\Windows\System32\WinEXE.EXE "%1" %*
6. Pinche sobre "(Predeterminado)" y en Información del
valor, debe borrar el nombre del cargador
(C:\Windows\System32\WinEXE.EXE) y dejar en "Datos" solo esto
(comillas, porcentaje, uno, comillas, espacio, porcentaje,
asterisco):
Nombre Datos
(Predeterminado) "%1" %*
7. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\WindowsNT
\CurrentVersion
\Windows
8. Pinche en la carpeta "Windows" y en el panel de la derecha
busque y borre las siguientes entradas:
run
9. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
10. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre las siguientes entradas:
WinGate initialize
Remote Procedure Call Locator
Program In Windows
11. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
7 - ¡Gratis, obtenga su licencia del antivirus NOD32!
_____________________________________________________________
Ya se entregaron cuatro licencias del antivirus Nod32.
¡La próxima puede ser la suya, aún tiene chance!
El cuarto y penúltimo sorteo de las cinco licencias del
antivirus Nod32, que VSAntivirus.com ha decidido compartir
con sus lectores para festejar la edición número 1000 de su
boletín, ya tiene su ganador: Alejandro Muro Tapia, de
México.
El premio es ofrecido por Ontinet.com, distribuidor exclusivo
en España del producto.
Estos son los datos del cuarto ganador (sorteo 9/may/03):
- Primer premio lotería uruguaya viernes 9/may/03: 19522
http://www.loteria.gub.uy/loteria_20030425.htm
- Ganador por aproximación (19649):
Alejandro Muro Tapia (México)
Formulario enviado el 7/04/2003 15:10
* Ganadores anteriores
* Tercer ganador (25/abr/03):
- Primer premio lotería uruguaya viernes 25/abr/04: 11654
http://www.loteria.gub.uy/loteria_20030425.htm
- Ganador por aproximación (11659):
Luis Parra (Chile)
Formulario enviado el 7/04/2003 19:25
* Segundo ganador (11/abr/03):
- Primer premio lotería uruguaya viernes 11/abr/04: 03469
http://www.loteria.gub.uy/loteria_20030411.htm
- Ganador por aproximación (03400):
Miguel Domínguez (España)
Formulario enviado el 2/04/2003 15:43
* Primer ganador (4/abr/03):
- Primer premio lotería uruguaya viernes 4/abr/04: 03665
http://www.loteria.gub.uy/loteria_20030404.htm
- Ganador por aproximación (03655):
David León Magaña (México)
Formulario enviado el 2/04/2003 18:56
El próximo viernes 16 de mayo sorteamos la última licencia.
* Formulario de inscripción
1. Para participar en dicho sorteo, y hacerse acreedor a una
licencia del antivirus Nod32, si no lo ha hecho aún, ingrese
su dirección electrónica, nombre y país en el formulario de
la siguiente página:
http://www.vsantivirus.com/sorteo.htm
[Nota: Si ya tiene su número, y aún no ha sido favorecido,
seguirá participando con dicho número, no debe volver a
inscribirse]
2. En un plazo no mayor de 12 horas, recibirá un número
generado al azar con el que participará del último sorteo.
3. El viernes 16 de mayo, el número coincidente con las
cifras finales del primer premio del sorteo semanal de la
Lotería Uruguaya (http://www.loteria.gub.uy/default.htm), se
hará acreedor de una licencia válida por un año de un paquete
personal del Antivirus Nod32, cedido a VSAntivirus por
Ontinet.com, S.L, distribuidor exclusivo en España del mismo.
4. En caso de no coincidir ningún número con el primer
premio, se hará acreedor el más cercano al mismo y se
publicará su nombre en nuestro sitio. Para evitar el SPAM, no
se mostrará su dirección de correo completa.
5. El ganador será avisado de los pasos siguientes para
hacerse de su premio.
6. Podrán participar todos los suscritos a nuestro boletín, y
no se enviará más de un número por dirección suscrita.
7. Si la dirección electrónica utilizada no coincide con la
de un usuario registrado, no será enviado ningún número para
participar. Asegúrese de que la dirección es la misma que
figura al pie de cada boletín, donde dice : "Este boletín es
enviado a: [aquí va su dirección]"
* Más información:
Festejamos los 1000 regalando cinco licencias de Nod32
http://www.vsantivirus.com/sorteo-1000.htm
Ya tiene dueño otra licencia de Nod32
http://www.vsantivirus.com/ganadores.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1040, Año 7, Martes 13 de mayo de 2003
|
VSantivirus No. 10
Responder a este mensaje
