Mostrando mensaje 103     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1054 Año 7, Martes 27 de mayo de 2003 Fecha: Martes, 27 de Mayo, 2003  21:43:46 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1054 Año 7, Martes 27 de mayo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Desbordamiento de búfer en AnalogX Proxy 2 - W32/Naco.B. Deshabilita antivirus y borra archivos 3 - Troj/QDial6. Troyano que usa el módem y hace llamadas 4 - W32/Narith.A. Se propaga a través de la red KaZaa 5 - Troj/BackDoor.Wollf. Troyano de acceso remoto 6 - Troj/Backdoor.VB. Troyano de acceso remoto _____________________________________________________________ 1 - Desbordamiento de búfer en AnalogX Proxy _____________________________________________________________ http://www.vsantivirus.com/vul-analogx-proxy.htm Desbordamiento de búfer en AnalogX Proxy Por Redacción VSAntivirus vsantivirus@videosoft.net.uy AnalogX Proxy es un servidor proxy de uso libre, que permite aprovechar un solo acceso a Internet para conectar varias computadoras en una red doméstica. Soporta HTTP, HTTPS, POP3, SMTP, NNTP, FTP, y protocolos Socks4/4a y parcialmente Socks5 (no UDP). Una de sus características, además de ser gratuito, es que el archivo del programa a instalar, apenas ocupa 269 Kb. La versión 4.13 de AnalogX Proxy (y posiblemente versiones anteriores), presenta un vulnerabilidad causada por un desbordamiento de búfer, que puede ser explotada mediante un solicitud HTTP especialmente modificada. Enviando un URL (Uniform Resources Locator o Localizador Uniforme de Recursos) que contenga 340 caracteres o más al puerto 6588, un atacante remoto o local, puede provocar el desbordamiento de búfer y ejecutar código en forma arbitraria en el sistema afectado, con los privilegios del usuario local. También puede producirse el cuelgue del programa y del sistema afectado. Un URL es básicamente un "apuntador" a la ubicación de cualquier archivo, como por ejemplo una página HTML. La solución, es actualizar la versión usada por la 4.14 que puede ser descargada del siguiente enlace: http://www.analogx.com/contents/download/network/proxy.htm La falla puede producirse en cualquier plataforma de Windows. * Referencias: Buffer Overflow in Analogx Proxy http://archives.neohapsis.com/archives/vulnwatch/2003-q2/0082.html AnalogX Site http://www.analogx.com/ Reportado por: K. K. Mookhey, Network Intelligence India, http://www.nii.co.in/vuln/analogx.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Naco.B. Deshabilita antivirus y borra archivos _____________________________________________________________ http://www.vsantivirus.com/naco-b.htm Nombre: W32/Naco.B Tipo: Gusano de Internet (P2P) Alias: W32/Naco.b@MM, W32/Naco.b@mm, I-Worm.Anacon.b, Troj/Naco.B, WORM_CORONA.B, WORM_NACO.B, Worm/Anacon.2, I-Worm/Anacon, Win32.Nocan.B@mm, Win32.HLLM.Anacon, CORONA, W32.Naco.B@mm, Win32/Naco.B, W32/Anacon-B Fecha: 26/may/03 Tamaño: 137,651 bytes Plataforma: Windows 32-bit * Actualizado el 27/may/03 El gusano, escrito en Microsoft Visual Basic y comprimido con la utilidad UPX, se propaga vía correo electrónico y a través de las redes de intercambio de archivos entre usuarios, como KaZaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire y otras. También puede utilizar para su propagación, los recursos compartidos en redes. Posee características de caballo de Troya, lo que compromete la seguridad del usuario de la computadora infectada, al poder tomar un intruso el control total sobre ésta. Una vez en memoria, el gusano es capaz de desactivar y borrar los programas antivirus y cortafuegos que estuvieran activos en memoria, dejando a la máquina indefensa. El gusano puede llegar en un mensaje como el siguiente: Asunto: [uno de los siguientes o en blanco]: Alert! W32.Anacon.B@mm Worm Has been detected! Crack - Download Accerelator Plus 5.3.9 Do you happy? Do you remember me? Download WinZip 9.0 Beta FoxNews Reporter: Hello! SARS Issue! Get Free XXX Web Porn! Great News! Check it out now! Just for Laught! Oh, my girl! Re: are you married?(1) Run for your life! The ScreenSaver: Wireless Keyboard TIPs: HOW TO JUMP PC TO PC VIA INTERNET? Tired to Search Anonymous SMTP Server? Update: Microsoft Visual Studio .Net VBCode: Prevent Your Application From Crack What New in TechTV! Young and Dangerous 7 Your Password: jad8aadf08 Texto del mensaje: Hello dear, I’m gonna missed you babe, hope we can see again! In Love, Rekcahlem ~<>~ Anacon Datos adjuntos: [alguno de los siguientes]: against.exe anacon.exe bgii.exe build.exe force.exe hangup.exe hungry.exe runtime.exe scan.exe thing.exe wars.exe El gusano no autoejecuta el adjunto. Es un archivo autoextraíble que debe ser abierto por el usuario, y que contiene los siguientes archivos: Mswinsck.ocx Anacon.bat Naco.exe MSWINSCK.OCX es un archivo normal usado por Windows para establecer una conexión a Internet (Windows Socket Communications). ANACON.BAT es un simple archivo de comandos de MS-DOS que ejecuta al gusano, el archivo NACO.EXE. Antes copia el archivo MSWINSCK.OCX al directorio de archivos de programa, y registra dicho componente usando el comando: REGSVR32 /S C:\PROGRA~1\MSWINSCK.OCX Más tarde borra a dicho archivo, se borra a si mismo y ejecuta como dijimos a NACO.EXE. Inmediatamente comienza a autoenviarse en mensajes como los ya vistos, a todos los contactos de la libreta de direcciones. También busca la presencia de las siguientes carpetas, pertenecientes a conocidos programas de intercambio de archivos: C:\Archivos de programa\ BearShare\Shared BearShare\Shared\ Edonkey2000\Incoming Edonkey2000\Incoming\ Grokster\My Grokster Grokster\My Grokster\ KaZaA Lite\My Shared Folder KaZaA Lite\My Shared Folder\ Kazaa\My Shared Folder Kazaa\My Shared Folder\ limewire\Shared limewire\Shared\ Morpheus\My Shared Folder Morpheus\My Shared Folder\ En aquellas carpetas que encuentre, se copiará con los siguientes nombres: About SARS Solution.doc.exe Backdoor Capabilities Dont eat pork. SARS in there.jpg.exe Dont eat pork.. SARS in there.jpg.exe DOOM III Demo.exe EAGames.exe EmpireEarthII.msi.exe gangXcop.exe Installer.exe InternationalDictionary.exe jdbgmgr.exe Jonny English (JE).avi.exe JugdeDread.exe JumpingJumping.exe Mesmerize.exe Microsoft Visual Studio.exe MSVisual C++.exe Nokia8250Series.exe Q111023.exe Q544512.exe QuickInstaller.exe Setup.exe SEX_HOT.exe SEX_HOTorCOOL.exe SuperMarioBrother.exe The Matrix Evolution.mpg.exe The Matrix Reloaded Preview.jpg.exe The Matrix Reloaded.jpg.exe Upgrade you HandPhone.exe VISE.exe winamp3.exe WindowsUpdate.exe WindowsXP PowerToys.exe WMovie Maker II.exe X-Men II Trailer.mpg.exe YoungAndNotTooDangerous.exe El gusano posee código para activarse como un troyano de acceso remoto por puerta trasera, capaz de recibir instrucciones de un atacante. Cuando ello sucede, un mensaje es enviado a la siguiente información: chatza@phreaker.net Enviando la siguiente información: Nombre del ejecutable del troyano Sistema operativo Versión del Internet Explorer Nombre de los directorios de Windows y System Resolución de la pantalla Hora y fecha actual Dirección IP de la máquina infectada Puerto por el que se conecta Nombre de usuario y de la computadora Contraseñas en el caché (solo Windows 95, 98 y Me) Nombre del host Unidades de disco, nombres y tipos Nombre de la computadora Número UIN de ICQ Tarjeta de sonido El atacante puede llevar a cabo las siguientes acciones: Abrir o cerrar el portapapeles Abrir o cerrar la bandeja del CD Autoactualizar su propio código Cambiar el papel tapiz Cambiar la configuración de la pantalla Capturar lo tecleado por la víctima Ejecutar archivos de video AVI o de sonido WAV Enviar códigos de teclas pulsadas a la víctima Habilitar o deshabilitar el doble clic del mouse Habilitar o deshabilitar las teclas CTRL+ALT+SUPR Intercambiar los botones del ratón Listar y matar procesos Listar, borrar y ejecutar archivos Mostrar mensajes Mostrar o esconder la barra de tareas Quitar al propio troyano Reiniciar la computadora Terminar conexiones de Internet, etc. El enlace para actualizarse apunta a este sitio: http://vx.netlux.org/~melhacker/anaconII.exe Cuando se ejecuta, el gusano se copia con los siguientes nombres: c:\windows\system\Syspoly32.exe c:\windows\system\Wars.exe Algunos fabricantes de antivirus, indican que el archivo WARS.EXE no se llega a copiar en el sistema. NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). Luego crea las siguientes entradas, para ejecutarse en el inicio de Windows y para compartir la unidad C con otras unidades como un recurso: HKLM\Software\Microsoft\Windows\CurrentVersion\Run AHU = c:\windows\system\Syspoly32.exe Nocana = c:\windows\system\Wars.exe SysAnacon32 = c:\windows\system\Sysana32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices InterceptedSystem = c:\windows\system\Syspoly32.exe HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run PowerManagement = c:\windows\system\Syspoly32.exe HKLM\System\ControlSet001\Services\lanmanserver\Shares HACKERz = [un valor en hexadecimal] HKLM\System\ControlSet002\Services\lanmanserver\Shares HACKERz = [un valor en hexadecimal] HKLM\System\CurrentControlSet\Services\lanmanserver\Shares HACKERz = [un valor en hexadecimal] Para utilizar el cliente ICQ, el gusano también crea la siguiente entrada en el registro: HKCU\Software\Mirabilis\ICQ\Agent\Apps\Gvjlkfbip Startup = c:\windows\system\ Enable = Yes Parameters = "" Path = c:\windows\system\Syspoly32.exe Luego busca la presencia de los siguientes procesos en memoria. Si los encuentra los desactiva y luego crea las modificaciones necesarias en el archivo WINNINIT.BAT que se ejecuta luego de un reinicio de Windows, para borra los ejecutables asociados. _Avp32.exe _Avpcc.exe _Avpm.exe Ackwin32.exe Anti-Trojan.exe Apvxdwin.exe Autodown.exe Avconsol.exe Ave32.exe Avgctrl.exe Avkserv.exe Avnt.exe Avp.exe Avp32.exe Avpcc.exe Avpdos32.exe Avpm.exe Avptc32.exe Avpupd.exe Avsched32.exe Avwin95.exe Avwupd32.exe Blackd.exe Blackice.exe Cfiadmin.exe Cfiaudit.exe Cfinet.exe Cfinet32.exe Claw95.exe Claw95cf.exe Cleaner.exe Cleaner3.exe Dvp95.exe Dvp95_0.exe Ecengine.exe Esafe.exe Espwatch.exe f-Agnt95.exe Findviru.exe f-Prot.exe Fprot.exe f-Prot95.exe Fp-Win.exe Frw.exe f-Stopw.exe Iamapp.exe Iamserv.exe Ibmasn.exe Ibmavsp.exe Icload95.exe Icloadnt.exe Icmon.exe Icsupp95.exe Icsuppnt.exe Iface.exe Iomon98.exe Jedi.exe Lockdown2000.exe Lookout.exe Luall.exe Moolive.exe Mpftray.exe N32scanw.exe Navapw32.exe Navlu32.exe Navnt.exe Navw32.exe Navwnt.exe Nisum.exe Nmain.exe Normist.exe Nupgrade.exe Nvc95.exe Outpost.exe Padmin.exe Pavcl.exe Pavsched.exe Pavw.exe Pccwin98.exe Pcfwallicon.exe Persfw.exe Rav7.exe Rav7win.exe Regedit.exe Rescue.exe Safeweb.exe Scan32.exe Scan95.exe Scanpm.exe Scrscan.exe Serv95.exe Smc.exe Sphinx.exe Sweep95.exe Tbscan.exe Tca.exe Tds2-98.exe Tds2-Nt.exe Vet95.exe Vettray.exe Vscan40.exe Vsecomr.exe Vshwin32.exe Vsstat.exe Webscanx.exe Wfindv32.exe Zonealarm.exe De acuerdo al día del mes (días 1, 4, 8, 12, 16, 20, 24 y 28), el gusano puede borrar todos los archivos del disco C. Para ello ejecuta las siguientes acciones: a. Cambia los atributos de sistema (+S), ocultos (+H) y solo lectura (+R) de todos los archivos del disco duro de la unidad C (-S, -H, -R). b. Borra todo el contenido del disco C. c. Cuando se activa esta rutina, se muestra una ventana con el siguiente mensaje: Anacon W0rm The only I have to say is, I need you babe! [ OK ] Antes de borrarse todos los archivos, en cada clic en el botón [OK], siete mensajes como los indicados al comienzo son enviados a cada uno de todos los contactos de la libreta de direcciones. El gusano también abre varias líneas de comandos para ejecutar la orden PING dirigida al puerto 80 de varios sitios, todos relacionados con Israel (ministerios, embajadas de otros países en Israel, hoteles, bibliotecas, etc.), con la idea de realizar ataques de denegación de servicio distribuido (DDoS). Estas acciones consumen casi todos los recursos del sistema, causando muchas veces el cuelgue de Windows y la aparición de una pantalla azul de la muerte. Si en la computadora infectada está instalado el servidor Microsoft IIS, el gusano crea un archivo batch llamado ANADEFACE.BAT, con el cuál renombra los siguientes archivos en la carpeta "\Inetpub\wwwroot\", tanto en la unidad C como en la D: default.asp [renombrada como ANA_Default.asp] index.htm [renombrada como ANA_Index.htm] default.htm [renombrada como ANA_Default.htm] index.html [renombrada como ANA_Index.html] default.html [renombrada como ANA_Default.html] index.asp [renombrada como ANA_Index.asp] Luego copia los archivos con su nombre original, pero conteniendo el siguiente texto: I WARN TO YOU! DON'T PLAY STUPID WITH ME! ANACON MELHACKER WILL SURVIVE!, Anacon, Melhacker, Dincracker, PakBrain, Foot-Art and AQTE Anacon G0t ya! By Melhacker - dA r34L #4(k3R! * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados Nota: Los archivos sobrescritos o borrados deberán ser reinstalados o copiados de un respaldo anterior. Sugerimos que se llame a un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora. * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\Syspoly32.exe c:\windows\system\Wars.exe c:\windows\Wininit.ini Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: AHU Nocana SysAnacon32 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: InterceptedSystem 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_USERS \.DEFAULT \Software \Microsoft \Windows \CurrentVersion \Run 7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: PowerManagement 8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \ControlSet001 \Services \lanmanserver \Shares 9. Pinche en la carpeta "Shares" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: HACKERz 10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \ControlSet002 \Services \lanmanserver \Shares 11. Pinche en la carpeta "Shares" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: HACKERz 12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services \lanmanserver \Shares 13. Pinche en la carpeta "Shares" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: HACKERz 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Mirabilis \ICQ \Agent \Apps \Gvjlkfbip 15. Pinche en la carpeta "Gvjlkfbip" y bórrela. 16. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Actualizaciones: 27/may/03 - Alias: WORM_CORONA.B, WORM_NACO.B, Worm/Anacon.2 27/may/03 - Alias: I-Worm/Anacon, Win32.Nocan.B@mm, Win32.HLLM.Anacon 27/may/03 - Alias: CORONA, W32.Naco.B@mm, Win32/Naco.B, W32/Anacon-B 27/may/03 - Se actualiza la descripción con más información (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/QDial6. Troyano que usa el módem y hace llamadas _____________________________________________________________ http://www.vsantivirus.com/qdial6.htm Nombre: Troj/QDial6 Tipo: Caballo de Troya Alias: QDial6, Dial/Top-A Fecha: 26/may/03 Este troyano, cuando se instala, intenta utilizar el módem instalado en la computadora infectada, para realizar llamadas a números preseleccionados. Cada vez que el usuario lo ejecuta (generalmente sin saber de que se trata, y engañado al pensar es alguna utilidad), el troyano comienza a discar a los números previstos, sin mostrar ningún mensaje de advertencia o ventana de diálogo. No realiza ningún cambio en el sistema. El troyano (cuyo ejecutable puede tener cualquier nombre) suele distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros. * Reparación manual Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Narith.A. Se propaga a través de la red KaZaa _____________________________________________________________ http://www.vsantivirus.com/narith-a.htm Nombre: W32/Narith.A Tipo: Gusano de Internet (P2P) Alias: W32.HLLW.Narith, Worm.P2P.Ritan, Bloodhound.W32.5 Fecha: 26/may/03 Tamaño: 28,672 bytes Plataforma: Windows 32-bit Este gusano, escrito en Microsoft Visual Basic, intenta propagarse a través de la red de archivos compartidos KaZaa. Para su funcionamiento se requieren las librerías en tiempo de ejecución (run-time). Cuando un archivo infectado se ejecuta, su única acción es copiarse a la carpeta por defecto usada por el KaZaa para sus archivos compartidos: C:\Archivos de programa\Kazaa\My Shared Folder Para ello utiliza los siguientes nombres (todos copias del propio gusano): 50 Cent_- Track11.wma.exe 8 Mile.Mpeg4.DVD.avi.exe Ali G Gives Respect.Mpeg4.AVI.avi.exe Ali G in the House.Mpeg4.VCD.dat.exe Amd VS Intel Installation.exe AMD64 Hammer Information_.exe Austin Powers Gold Member.Divx.AVI.mov.exe Austin Powers Gold Member.Divx.SVCD.dat.exe Austin Powers Gold Member.Mpeg4.AVI.dat.exe AVP32 Inst.exe Beavis & Butthead do America.Divx.VCD.mpg.exe Bedazzled.DCF32.SVCD.mpg.exe Bedazzled.Divx.AVI.mov.exe Bedazzled.Xvid.DVD.avi.exe Bee Gees_- Track02.ogg.exe Black & White Setup.exe BoyZone - Track01.mp3.exe Brasse van die Kaap -_Psycadelic mix.wma.exe Cher_-_Track10.wma.exe Clone DVD Full.exe Cruel Intentions 3.DCF32.SVCD.avi.exe Dance E-Jay 1_Full.exe Dance E-Jay 2 Installation.exe Dance E-Jay 2_Inst.exe Dance E-Jay 3_Full.exe Dance E-Jay 4 Inst.exe DareDevil.Mpeg4.VCD.avi.exe Donna Summer_-_You Hate.mp3.exe Dos Games Inst.exe DVD Cloner32 Full.exe DVD Cloner32_Installation.exe Eifel 65 -_Track08.ogg.exe ESP 11_-_Southpark mix.wma.exe ESP 13_-_Brain Damage.ogg.exe ESP 7_- Simpsons mix.mp3.exe Fragma - Track05.ogg.exe Free Credit Card Number_Setup.exe Free SEX Website Download Setup.exe Harry Potter 01.Divx.AVI.dat.exe Harry Potter 01.Mpeg4.DVD.dat.exe Hip-Hop E-Jay 1_Inst.exe Hits 2003_-_Psycadelic mix.mp3.exe Intel Opcode Viewer_Setup.exe Iview32 Inst.exe JackAss - The Movie.DCF32.SVCD.avi.exe JackAss - The Movie.Xvid.DVD.avi.exe Jason Returns.Divx.DVD.mpg.exe Jason Returns.Mpeg4.DVD.avi.exe Jay and Silent bob.Xvid.DVD.mov.exe Koleske_- Beavis and Butthead mix.ogg.exe Lady Smith - HiperPond.wma.exe Lady Smith -_Techno mix.ogg.exe LameMp3 Encoder_.exe Liberty stand still.DCF32.SVCD.mpg.exe Liberty stand still.Xvid.AVI.mpg.exe Lord of the Rings - Fellowship of the ring.Divx.SVCD.mpg.exe Lord of the Rings - Two Towers.DCF32.SVCD.mpg.exe Lotto Number Generator_Inst.exe Maid in manhattan.Mpeg4.SVCD.dat.exe Maid in manhattan.Xvid.SVCD.avi.exe Metal E-Jay 1 .exe Metal E-Jay 2 Inst.exe Metal E-Jay 3 .exe Metal E-Jay 3 Full.exe Metal E-Jay 3_Installation.exe Nirvana_-_Track10.wav.exe Oasis -_Track10.wma.exe Pearl Harbor.Xvid.VCD.dat.exe Rave E-Jay 1_Full.exe Rave E-Jay 2 Inst.exe Resident Evil.DCF32.AVI.avi.exe Resident Evil.Divx.DVD.mpg.exe Resident Evil.Mpeg4.SVCD.mov.exe Rollerball.DCF32.VCD.mov.exe Ronan_-_Track06.ogg.exe Sash_-_HiperPond.ogg.exe Spiderman.Divx.SVCD.dat.exe Spiderman.Divx.SVCD.mpg.exe Spiderman.Mpeg4.DVD.mpg.exe Sugary Ray_-_Track12.wav.exe Techno E-Jay 2_.exe Techno E-Jay 3 .exe Techno E-Jay 3_Full.exe Techno Trance 4_-_Trance mix.mp3.exe The Animatrix.Divx.DVD.dat.exe The Animatrix.Divx.DVD.mpg.exe The Matrix 2.DCF32.AVI.avi.exe The Matrix 2.DCF32.DVD.dat.exe The Ring.Divx.VCD.avi.exe Tick32 .exe Tick32_Full.exe Total E-Jay 3_.exe Total E-Jay 3_Inst.exe Total E-Jay 3_Setup.exe Whats hot 2 - Brain Damage.ogg.exe Whats hot 4 -_Drugs.wma.exe Windows XP Home Installation.exe World of Dance 4_- Austin.mp3.exe Xmen-2.DCF32.DVD.avi.exe Xmen-2.Mpeg4.DVD.dat.exe XXX.Mpeg4.AVI.mpg.exe El gusano no realiza ningún otro cambio en el sistema. * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus Para la limpieza de este gusano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Troj/BackDoor.Wollf. Troyano de acceso remoto _____________________________________________________________ http://www.vsantivirus.com/back-wollf.htm Nombre: Troj/BackDoor.Wollf Tipo: Caballo de Troya de Acceso Remoto Alias: BackDoor-ABM, BackDoor.Wollf, Bck/Wolf, BKDR_WOLLF, Troj/Wollf Fecha: (varias) Tamaño: variable Hay varias versiones de este troyano, detectado desde junio de 2002 por la mayoría de los antivirus. Sin embargo, las nuevas versiones podrían no ser detectadas si no se actualizan los antivirus. El troyano puede ser configurado de múltiples formas por el atacante que lo controle, de tal modo que la descripción actual es solo una guía para su posible identificación. Cuando se ejecuta, el troyano se puede copiar a la carpeta de Windows\System y crea una entrada en el registro para autoejecutarse en cada reinicio de Windows. HKCU\Software\Microsoft\Windows\CurrentVersion\Run SysReg = c:\windows\system\[nombre del troyano] Puede ser ejecutado también como un servicio, tomando el nombre del ejecutable. Cuando se ejecuta, el troyano queda escuchando por un puerto TCP predeterminado por el atacante, y a la espera de los comandos que éste pueda enviarle. Algunas opciones posibles con este troyano: Apagar y/o reiniciar Windows Captura de lo tecleado por la víctima (keylogger) Detener servidor remoto Enviar versión del troyano instalado Examinar paquetes TCP (TCP sniffer) Funciona como servidor Telnet y/o FTP Matar procesos activos Muestra ventanas de mensajes pop-up Puede obtener lista de programas instalados y procesos Recoge información del usuario infectado y de la computadora Redireccionar puertos TCP Soporte de línea de comandos DOS Subir, descargar y ejecutar archivos El troyano suele distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir las siguientes ramas: HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\RunOnce 3. En cada caso, pinche en la carpeta "Run", "RunOnce" o "RunServices", y en el panel de la derecha, bajo la columna "Nombre", busque y borre las entradas correspondientes al ejecutable del troyano (las mismas pueden variar de acuerdo al nombre). 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - Troj/Backdoor.VB. Troyano de acceso remoto _____________________________________________________________ http://www.vsantivirus.com/backdoor-vb.htm Nombre: Troj/Backdoor.VB.t Tipo: Caballo de Troya de Acceso Remoto Alias: Tr/VB.t, Trojan.Win32.VB.t Fecha: 25/may/03 Tamaño: 135,168 bytes Plataforma: Windows 32-bit Variante: Troj/Backdoor.VB.u Tipo: Caballo de Troya de Acceso Remoto Alias: Tr/VB.u, Trojan.Win32.VB.u Fecha: 25/may/03 Tamaño: 102,400 bytes Plataforma: Windows 32-bit Este troyano permite a un intruso realizar acciones maliciosas en la computadora infectada, accediendo por una puerta trasera. No posee ninguna rutina de propagación, y suele distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros. Si la víctima ejecuta el archivo del troyano, el mismo libera los siguientes archivos al directorio raíz de la unidad de disco donde se ejecute y en la carpeta Windows\Java: \write.js \programacion.html c:\windows\java\java.exe También modifica el registro para ejecutarse al reiniciar la computadora: HKCU\Software\Microsoft\Windows\CurrentVersion\Run gpvcwar = c:\windows\java\java.exe Esta versión suele distribuirse con el nombre de "programacion.exe". * Variante: Troj/Backdoor.VB.u Básicamente es idéntica a la anterior, y suele distribuirse con el nombre "mtrix.exe". * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: gpvcwar 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1054 Año 7, Martes 27 de mayo de 2003