Mostrando mensaje 120     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1071 Año 7, Viernes 13 de junio de 2003 Fecha: Viernes, 13 de Junio, 2003  05:25:08 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1071 Año 7, Viernes 13 de junio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Inseguridad informática en México 2 - Vulnerabilidad XSS en PostNuke 3 - W32/Cidas.A. Se propaga por e-mail, IRC, redes P2P 4 - W32/Nofear.A. Se envía a toda la libreta de direcciones _____________________________________________________________ 1 - Inseguridad informática en México _____________________________________________________________ http://www.vsantivirus.com/13-06-03.htm Inseguridad informática en México Por Jose Luis Lopez videosoft@videosoft.net.uy Este fin de semana, la página presidencial de México (www.presidencia.gob.mx), ha estado inaccesible por largos periodos. Según la información divulgada, ello se debe al ataque de piratas informáticos, que operando desde fuera del país, han enviado paquetes de datos de hasta 100 megabytes por segundo, haciendo caer al servidor por denegación de servicio (DoS). Aunque se han tomado medidas para bloquear el ataque, las mismas llevaron su tiempo, y lo cierto es que prácticamente encontraron a los responsables "con la guardia baja". Según información enviada a agencias internacionales, un portavoz de la presidencia mexicana resumió el hecho con una contundente expresión: "Nos sacaron del tráfico internacional". Las fuentes destacan las especiales características de la acción, y sobre todo el enorme ancho de banda manejado. Las medidas tomadas hasta el momento, buscan disminuir el impacto, clonando en varios servidores el sitio original, y utilizando servidores en otros países. Incluso se llegó a solicitar colaboración al FBI, ya que Estados Unidos parecía ser el país de origen del ataque; pero esta ayuda aún no ha dado resultados positivos a la hora de localizar a los culpables. El tema mereció el comentario crítico de un lector de ese país, Juan Carlos Lezama, que creemos interesante compartir, porque además somos conscientes que lo que expresa Juan Carlos, se aplica perfectamente a muchos de nuestros países. * Inseguridad informática en México Por Juan Carlos Lezama colaboradores@videosoft.net.uy Recientemente se ha desatado en México una preocupación por lo que sucede en relación a los ataques informáticos. Hace un par de semanas el texto de la página principal de la cámara de diputados (www.camaradediputados.gob.mx) fue alterado. Ahora este fin de semana a la fecha, se ha registrado un ataque DoS (denegación de servicio) a la página de la Presidencia de la República, www.presidencia.gob.mx. Hasta el momento la PFP (Policía Federal Preventiva), no ha podido determinar de donde vienen los ataques, y han solicitado ayuda al FBI; suponen que se trata de un hacker que no está en el país y que tiene muchos recursos económicos por dos razones que me parecen tontas; utiliza un ancho de banda de mas de 10 Mbps, que calculan es lo que se necesita para afectar el funcionamiento del servidor y los ataques pasan por servidores de Estados Unidos. Cuando se afirma que puede ser un hacker, recordemos que existen virus como el SQLSlammer (http://www.vsantivirus.com/sqlslammer.htm), que pueden llegar a bloquear servidores; además el ataque puede originarse en muchas partes del mundo. Existen usuarios que tal vez sin saberlo participan en el ataque, pues su maquina puede ser un zombie (http://www.vsantivirus.com/03-11-02.htm), lo que indica que no necesariamente es un hacker millonario pues con una simple conexión por módem puede iniciar un ataque sin intervenir en él; ni que la fuente de los ataques sea la misma, ya que como se mencionó se pueden usar otras computadoras. En México todavía se tienen rezagos importantes en materia de informática y comunicaciones; durante muchos años la principal empresa de comunicaciones (TELMEX), estuvo bajo control Estatal. Al pasar a manos privadas ésta tenía una infraestructura muy pobre, la cuál, al momento de privatizar la empresa, mejoró en su tecnología, pero aún continúa debajo del nivel que tienen otros países Latinoamericanos. Por ello no es extraño que más del 90% del tráfico de Internet en México tenga que pasar por servidores de Estados Unidos, donde la mayoría de las empresas alojan sus sitios; además de que la estructura usada por los proveedores de Internet se encuentra en su mayoría allí. No es raro que el ataque pase por servidores de ese país. La cultura informática es demasiado pobre pues no se manejan estadísticas de ningún tipo en cuanto a seguridad, y la mayoría de los usuarios no están conscientes de los peligros en la red. Es muy común que nadie use antivirus y mucho menos los actualice. La mayoría de las empresas basan sus plataformas de servidor en Windows 2000, por su facilidad de uso más que por su seguridad. El gobierno también planea conectar a comunidades marginadas a Internet. El programa se llama e-México (http://mx.news.yahoo.com/030605/6/11t8n.html). Anexo los enlaces relativos a esta información: http://www.el-universal.com.mx/pls/impreso/noticia.html?id_nota=14634&tabla=primera http://www.el-universal.com.mx/pls/impreso/noticia.html?id_nota=97980&tabla=Nacion http://mx.news.yahoo.com/030612/26/11w1i.html Juan Carlos Lezama (México) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Vulnerabilidad XSS en PostNuke _____________________________________________________________ http://www.vsantivirus.com/vul-postnuke-xss.htm Vulnerabilidad XSS en PostNuke Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Reportado por David F. Madrid idoru@videosoft.net.uy PostNuke es un sistema de manejo de contenido que permite el desarrollo y la administración de portales de una forma rápida y fácil. Según afirma el desarrollador, es un producto mucho más seguro que el de sus competidores. Sin embargo, su código presenta dos vulnerabilidades del tipo "Cross-Site scripting". Las vulnerabilidades conocidas como "Cross-Site Scripting" (CSS o XSS), se basan en la posibilidad de que un atacante pueda lograr que un servidor Web devuelva una página conteniendo código malicioso al responder a una petición legítima. Esto puede suceder sobre todo en aquellos servidores que utilizan páginas dinámicas para generar el contenido. Esta vulnerabilidad puede utilizarse para enviar la cookie del usuario a otra página, tomando su personalidad (secuestro de la sesión del usuario). Otras vulnerabilidades del navegador pueden ser también explotadas, ya que las posibilidades que se abren al poderse incluir y ejecutar un script son innumerables. Un exploit que muestra un ejemplo de esta vulnerabilidad puede verse en el enlace al final de este artículo. El fallo fue descubierto por David F. Madrid, redactor de Nautopía y colaborador asiduo de VSAntivirus. El fabricante ya ha sido notificado. Una solución aportada por David, consiste en filtrar en cada variable usada, todos aquellos caracteres no alfanuméricos: $good_var= eregi_replace("[^a-z0-9]+)and([^a-z0-9]+)","0",$var); Versiones vulnerables: PostNuke 0.7.2.3-Phoenix Créditos: David F. Madrid <idoru@videosoft.net.uy> Relacionados: Cross site scripting en Post Nuke http://nautopia.iespana.es/nautopia/vulnerabilidades/postnuke_xss.htm PostNuke site http://www.postnuke.com/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Cidas.A. Se propaga por e-mail, IRC, redes P2P _____________________________________________________________ http://www.vsantivirus.com/cidas-a.htm Nombre: W32/Cidas.A Tipo: Gusano de Internet Alias: W32.HLLW.Cidas@mm, I-Worm.Centar.h, W32/Fourseman.g@MM, CIDAS, W32/Cidas@mm, I.worm.Cidas@mm Fecha: 11/jun/03 Plataforma: Windows 32-bit Tamaño: 27,648 bytes Este gusano, escrito en Visual Basic y comprimido con la herramienta UPX, se propaga a través del correo electrónico, del IRC (usando el mIRC) y recursos compartidos en redes. Los mensajes presentan estas características: Uno de los siguientes asuntos: A windows patch Check out this program, it has a lot of functions! Interesting file New update! This Windows update is very simple and powerful! It helped me a lot! Try this patch that i've found yesterday, it's very useful! Update your system Very important! Uno de los siguientes archivos adjuntos: BugFixer.exe Microsoft_patch_7209.exe Updater.exe Upgrade_Installer.exe WindowsPatch.exe WinTool.exe WinUpdate.exe Y el siguiente texto en el cuerpo del mensaje: Hi! Install this useful program, and tell me what you think about it! Greet Cuando un archivo infectado se ejecuta, el gusano se copia en el directorio de Windows: c:\windows\Explorer.exe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). Note que esto sustituye al archivo "Explorador de Windows" (C:\windows\explorer.exe) por una copia del gusano. Luego envía los mensajes infectados con él adjunto, a todos los contactos de la libreta de direcciones de Windows. También puede propagarse a través de las siguientes redes de intercambio de archivos entre usuarios (P2P): Applejuice Bearshare eDonkey2000 Grokster KaZaA KaZaA Lite KMD Limewire Morpheus Overnet Busca las carpetas compartidas de esos programas y se copia con diferentes nombres, por ejemplo: AIM password stealer.exe Bin Laden-The truth.exe Christina Aguilera fucked.exe Easy_Crack_creator.exe Hotmail password stealer.exe Norton AntiVirus Crack.exe Pamela Anderson Sex.exe Porn_Downloader.exe RegCleaner_Setup.exe Saddam-Alive.exe Soccer game.exe WinBugsFixInstaller.exe Crea un archivo SCRIP.INI en la carpeta por defecto del mIRC (C:\mIRC\ o C:\Archivos de programa\mIRC\) para propagarse a través de los canales de chat. * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Cómo recuperar EXPLORER.EXE En Windows 98: 1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter. 2. Marque "Extraer un archivo del disco de instalación" 3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar: EXPLORER.EXE 4. Pinche en "Iniciar". 5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación). 6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas). 7. Pinche en "Aceptar". 8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC"). En Windows Me: 1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter. 2. Pinche en el botón "Extraer archivo" 3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar: EXPLORER.EXE 4. Pinche en "Iniciar". 5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación). 6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS" (sin las comillas). 7. Pinche en "Aceptar". 8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups"). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Nofear.A. Se envía a toda la libreta de direcciones _____________________________________________________________ http://www.vsantivirus.com/nofear-a.htm Nombre: W32/Nofear.A Tipo: Gusano de Internet e infector de ejecutables Alias: Trile, W32/Trile.A, W32/Nofear@MM, I-Worm.Fearso, Win32/Farex.A Fecha: 12/jun/03 Plataforma: Windows 32-bit Tamaño: 90,112 bytes Se trata de un gusano capaz de propagarse a través del correo electrónico y de las utilidades de intercambio de archivos entre usuarios KaZaa y Shareaza. Además, intenta finalizar la ejecución de varios antivirus y cortafuegos, e infecta ejecutables del sistema. Cuando un archivo infectado se ejecuta, infecta a otros ejecutables. El gusano inyecta un componente llamado "kernel.dll" dentro del espacio del proceso "Explorer.exe" (o sea dentro del proceso del entorno gráfico del propio Windows). Los destinatarios de los mensajes infectados son seleccionados de la libreta de direcciones de Windows (WAB), del libro de direcciones del Eudora y de la lista de contactos del MSN Messenger. Estas son las característica de esos mensajes: Uno de los siguientes asuntos: $150 FREE Bonus!! 25 merchants and rising! Announcement! Bad news!! CALL FOR INFORMATION! Click on this! Correction of errors! Cows Daily Email Reminder! Empty account! Fantastic! Free Shipping! FSM32 Get 8 FREE issues - no risk!! Get a FREE gift! Greets!! Hi! History screen! I need help about script!!! Interesting... Introduction Its Easy! ing! Just a reminder! Lost & Found! Market Update Report! Membership Confirmation My eBay ads! New bonus in your cash account! New Contests! New Reading News Payment notices! Please Help... Report SCAM alert!!! Sponsors needed! Star Wars II Movie Stats Today Only!! Tools For Your Online Business! Various! Warning! Wow! Your Gift! Your News Alert!! Uno de los siguientes textos en el cuerpo del mensaje: Attached one Gift for u.. Check the Attachment! Check the Attachment.. Enjoy the Attachment! Hi Check the Attachment ... More details Attached! See the Attachment! Y como datos adjuntos, un archivo con dos extensiones. La primera parte del nombre es una de las siguientes: bullshitscr Checkfriends Enjoylove Freescreensaver Friends Friends4u Friendscr Friendsearch friendsgreetings friendship friendship4u friendshipbird Friendshipforu Friendsworld fucker Greetings Love Love4u lovefinder lovegreetings Lovers Loverscreensaver Loversgang Lovescr Loveshore Passion passionup Rishtha saver Screensaver Screensaver4u Screensaverforu shakeit Shakescr shakingfriendship shakinglove Shareit Sharelove Truefriends Truelovers Urfriend Werfriends Como dijimos, el adjunto utiliza siempre dos extensiones, las que son tomadas de los siguientes grupos: Primera extensión: .bmp .dat .doc .gif .htm .jpg .mdb .mp3 .mpg .txt .wav .xls .xls Segunda extensión: .bat .pif Ejemplos: Lovers.bmp.pif Enjoylove.mp3.bat Cuando el adjunto se ejecuta, se muestra uno de estos mensajes de error: Error Fatal Exception 0E has ocurred at memory address in module Vxd IOS(04)+memory address. [ OK ] Error This File is Corrupted! [ OK ] Error Error: Low System Performance! [ OK ] Error Error: Can Not Find Config.INI! [ OK ] Luego, se crean los siguientes archivos: c:\windows\[nombre al azar].exe c:\windows\kernel.dll c:\windows\svchost.exe NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000). También crea copias de si mismo en la carpeta "My Downloads" (si no existe, la crea), con nombres diferentes, por ejemplo: C:\My Downloads\ Age Of Sail 2 Patch.Exe Age Of Wonders 2 Crack.Exe Aim Account Stealer Crack.Exe Aim Account Stealer Iso - Full Downloader.Exe Black And White Full Downloader.Exe Black And White Patch.Exe Borland Delphi 7 Crack.Exe Borland Delphi 7 Patch.Exe Cat Attacks Child Patch.Exe Civilization 3 Full Downloader.Exe Clive Barker’s Undying Key Generator.Exe Comanche 4 Patch.Exe Crazy Taxi Full Downloader.Exe Duke Nukem Manhattan Project Patch.Exe Dweebs 2 Crack.Exe Empire Earth Crack.Exe Free Virus Removal Tool From Symantec Patch.Exe Freedom Force Full Downloader.Exe Gladiator Iso - Full Downloader.Exe Grand Prix 4 Patch.Exe Grand Theft Auto 3 Patch.Exe Gta 3 Iso - Full Downloader.Exe Gta3 Key Generator.Exe Half Life Blue Shift Crack.Exe Half-Life Online Crack.Exe Hitman 2 Silent Assassin Full Downloader.Exe Industry Giant 2 Full Downloader.Exe International Cricket Captain 2003 Full Downloader.Exe Internet And Computer Speed Booster Key Generator.Exe Kazaa Media Desktop V2.5 Unofficial Full Downloader.Exe Kazaa Spyware Remover Iso - Full Downloader.Exe Microsoft Office Xp (English) Patch.Exe Need For Speed 5 Porsche Unleashed Patch.Exe Nero Burning Rom 5.8.0.1 Patch.Exe Neverwinter Nights Full Downloader.Exe Norton Utilities 2002 Xp Full Downloader.Exe Prisoner Of War Crack.Exe Quake 3 Arena Key Generator.Exe Red Ace Squadron Key Generator.Exe Sims Crack.Exe Soldiers Of Anarchy Crack.Exe Soldiers Of Anarchy Key Generator.Exe Star Wars Starfighter Iso - Full Downloader.Exe Stronghold Crusader Patch.Exe Sudden Strike 2 Iso - Full Downloader.Exe The Sun Of All Fears Key Generator.Exe Valhalla Chronicles Crack.Exe Windows Xp Full Downloader.Exe Windows Xp Sp1 Crack.Exe Xbox.Info Patch.Exe Estos mismos archivos son copiados en la carpeta "c:\windows\Drivers". Luego modifica la carpeta por defecto del KaZaa para apuntar a esta última carpeta: HKEY_CURRENT_USER\Software\KAZAA\LocalContent Además modifica la carpeta por defecto de la utilidad Shareaza para que apunte a "C:\My Downloads\". De ese modo tanto los usuarios de KaZaa como de Shareaza, se infectarán si descargan y ejecutan algunos de esos archivos. El gusano también crea las siguientes entradas en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [nombre al azar] = c:\windows\[nombre al azar].exe HKEY_LOCAL_MACHINE\SOFTWARE\VS### Donde ### es un dígito con la cantidad de mensajes infectados enviados hasta el momento (esta clave se va modificando). El gusano puede finalizar todos los procesos que contengan algunos de estas cadenas en su nombre (corresponden a conocidos antivirus y cortafuegos): _avp32 _avpcc _avpm Ackwin32 Advxdwin Agentw.Exe Alertsvc Alogserv Amon9x Anti-Trojan Ants Apvxdwin Atcon Atupdater Atwatch Autodown Avconsol Avgcc32 Avgctrl Avgserv Avgserv9 Avgw Avkpop Avkserv Avkservice Avkwctl9 Avp C Avp32 Avpcc Avpm Avpm.Exe Avsched32 Avsynmgr Avwinnt Avxmonitor9x Avxmonitornt Avxquar Avxquar.Exe Avxw Blackd Blackice C.Exe Ccapp.Exe Ccevtmgr Ccevtmgr.Exe Ccpxysvc.Exe Cdp Cdp.Exe Cfgwiz Claw95 Claw95c Cleaner Cleaner3 Cmgrdian Connectionmonitor Cpd Cpd At Cpdclnt Cpdclnt.Exe Ctrl Ctrl.Exe Defalert Defscangui Defwatch Doors H Doors.Exe Dvp95 Dvp95_0 Efpeadm Efpeadm.Exe Etrustcipe Etrustcipe.Exe Evpn.Exe Expert F-Agnt95 Fameh32 Fch32 Fih32 Fnrb32 F-Prot F-Prot95 Fp-Win Frw Erv Fsaa Fsav32 Fsgk32 Fsgk32.Exe Fsma32 Fsmb32 F-Stopw Gbmenu Gbpoll Generics Guard Iamapp Iamserv Iamserv Iamstats Icload95 Icloadnt Icmon Icsupp95 Icsuppnt Iface Iomon98 Isrv95 Itor Jedi Ldnetmon Ldpromenu Ldscan Lockdown Lockdown2000 Luall Lucomserver Luspt Mcagent Mcmnhdlr Mctool Mcupdate Mcvsrte Mcvsshld Mgavrtcl Mgavrte Mghtml Minilog Monitor Moolive Mpfagent.Exe Mpfservice Mpftray.Exe Mwatch Nav Auto-Protect Navap Navapsvc Navapw32 Navengnavex15 Navlu32 Navw32 Navwnt Ndd32 Neowatchlog Netutils Nisserv Nisum Nmain Normist Notst Art Nprotect Nprotect.Exe Npssvc Nsched32 Ntrtscan Ntvdm Ntxconfig Nui An Nupgrade Nvc95 T Nvsvc32 Nwservice Nwtool16 Padmin Pavproxy Pcciomon Pccntmon Pccwin97 Pccwin98 Pcscan Persfw Perswf Pop3trap Poproxy Portmonitor Processmonitor Programauditor Pview95 P-Win.Exe R.Exe Rav7 Rav7win Realmon Rescue Rtvscn95 Rulaunch Sbserv Scan32 Scrscan Smc Sphinx Spyxx Ss3edit Sweep95 Sweepnet Sweepsrv.Sys Swnetsup Symproxysvc H1 Symtray Taumon Tc Tca Tcm Tds-3 Di Tfak Vbcmserv Vbcons Vet32 Vet95 Vettray Vir-Help Vpc32 Vptray Vsched Vsecomr Vshwin32 Vsmain Vsmon Vsstat Watchdog Webscanx Webtrap Wgfe95 Wimmun32 Wradmin Wradmin.Exe Wrctrl Zapro Zonealarm Finalmente el gusano puede infectar archivos ejecutables de Windows, agregando su código al principio de los mismos. * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Repare o borre los archivos detectados como infectados * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: [nombre al azar] 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \VS[números] 5. Pinche en la carpeta "VS[números]" y bórrela. 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1071 Año 7, Viernes 13 de junio de 2003