|
Mostrando mensaje 910
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1859 Año 9, martes 9 de agosto de 2005 | | Fecha: | Martes, 9 de Agosto, 2005 02:48:29 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1859 Año 9, martes 9 de agosto de 2005
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Bagle.BI. Elimina antivirus y descarga archivos
2 - Incef.A. Se propaga por la red KaZaa y canales de IRC
3 - Landis.B. Se propaga enviándose por MSN Messenger
4 - Mytob.IM. Instala BOT y troyano, quita protecciones
_____________________________________________________________
1 - Bagle.BI. Elimina antivirus y descarga archivos
_____________________________________________________________
http://www.vsantivirus.com/bagle-bi.htm
Nombre: Bagle.BI
Nombre NOD32: Win32/Bagle.BI
Tipo: Caballo de Troya y gusano de Internet
Alias: Bagle.BI, Email-Worm.Win32.Bagle.bq, Email-
Worm.Win32.Bagle.BQ, Email-Worm.Win32.Bagle.BR, I-
Worm.Bagle.bq, I-Worm/Bagle, I-Worm/Bagle.CG,
TR/Dldr.Bagle.BT.2, Trj/Mitglieder.DQ, Troj/Bagle.AA,
Troj/Bagle.DI-R, Troj/BagleDl-R, Troj/Tooso.K, TROJ_BAGLE.AA,
TROJ_BAGLE.BB, Trojan.Tooso.J, W32.Beagle.CC@mm,
W32/_newstuff.2, W32/Bagle.BI, W32/Bagle.bq, W32/Bagle.BQ-mm,
W32/Bagle.dldr.gen, W32/Bagle.gen, W32/Mitglied.I,
W32/Mitglied.IR, W32/Mitglieder.DT, Win32.Bagle.BQ@mm,
Win32.Glieder.AO, Win32.HLLM.Beagle.36864, Win32/Bagle.BI,
Win32/Glieder.AO!Trojan, Win32:Beagle-CC, Worm.Bagle.3,
Worm.Bagle.BB-gen, Worm.Bagle.Gen, Worm.Beagle.AV,
Worm/Bagle.Gen
Fecha: 26/jun/05
Plataforma: Windows NT, 2000, XP
Tamaño: 36,864 bytes (y otros)
Actualizado: 8/ago/05
Este gusano fue detectado por primera vez el 26 de junio de
2005, y era descargado de Internet por otro troyano.
El 8 de agosto de 2005, volvió a reportarse esta vez enviado
en forma masiva por medio de spam. Algunos de esos mensajes
simulaban ser enviados por "NOD32 Australia", con un texto
falso sobre el vencimiento de la licencia. Otros mensajes con
otros textos y remitentes falsos, también fueron reportados.
La única diferencia con la versión original era su tamaño (su
código se ha recomprimido con otras utilidades), y la lista
de direcciones a las que intenta conectarse para descargar
otros archivos.
Según las estadísticas de VirusRadar On Line
(http://www.virusradar.com/index_esn.html), el 8 de agosto de
2005, Bagle.BI trepó al primer puesto con más de 47,000
mensajes reportados en tan solo unas pocas horas, y un total
de más de 148,000 desde su primera detección (26 de junio de
2005).
Cuando el gusano se ejecuta, para intentar engañar al
usuario, abre el Microsoft Paint (mspaint.exe), y se copia a
si mismo en la siguiente ubicación:
c:\windows\system32\WINSHOST.EXE
Crea las siguientes entradas en el registro para
autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe = "winshost.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe = "winshost.exe"
También crea las siguientes claves del registro como marca de
infección:
HKEY_CURRENT_USER\Software\FirstRun
FirstRunRR = "dword:00000001"
HKEY_USERS\.DEFAULT\Software\FirstRun
FirstRunRR = "dword:00000001"
Y modifica las siguientes entradas
HKLM\SYSTEM\CurrentControlSet\Services\Alerter
Start = "dword:00000004"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "dword:00000004"
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start = "dword:00000004"
Luego, el troyano libera el siguiente archivo:
c:\windows\system32\WIWSHOST.EXE
WIWSHOST.EXE se trata en realidad de un DLL (Dynamic Link
Library), que se intentará inyectar en el proceso del
Explorer.exe utilizando la función "CreateRemoteThread". Esta
función existe solo en Windows con tecnología NT (NT, 2000,
XP). La misma, crea un hilo nuevo en cualquier proceso y
ejecuta su código.
Luego de la inyección de código, WINSHOST.EXE finaliza su
ejecución, y el proceso malicioso llamado WIWSHOST permanece
ejecutándose encubierto dentro de la tarea del propio
Explorer.
Sobrescribe el archivo HOSTS en
"c:\windows\system32\Drivers\etc\hosts" (en esa ubicación en
Windows NT, 2000 y XP), con la siguiente información (esto
deja el archivo HOSTS con su configuración por defecto):
127.0.0.1 localhost
El troyano también es capaz de finalizar numerosos programas
de seguridad (antivirus y cortafuegos). Para ello, intentará
deshabilitar cualquier servicio en ejecución con los
siguientes nombres:
a5v.dll
AUPD1ATE.EXE
AUPDATE.EXE
AUPDATE.EXE
av.dll
av.dll
Av1synmgr.exe
Avc1onsol.exe
Avconsol.exe
Avconsol.exe
avg23emc.exe
avgc3c.exe
avgcc.exe
avgcc.exe
avgemc.exe
avgemc.exe
Avsynmgr.exe
Avsynmgr.exe
C1CSETMGR.EXE
c6a5fix.exe
cafix.exe
cafix.exe
CC1EVTMGR.EXE
cc1l30.dll
ccA1pp.exe
ccApp.exe
ccApp.exe
CCEVTMGR.EXE
CCEVTMGR.EXE
ccl30.dll
ccl30.dll
CCSETMGR.EXE
CCSETMGR.EXE
ccv1rtrst.dll
ccvrtrst.dll
ccvrtrst.dll
CM1Grdian.exe
CMGrdian.exe
CMGrdian.exe
is5a6fe.exe
isafe.exe
isafe.exe
K2A2V.exe
KAV.exe
KAV.exe
kav12mm.exe
kavmm.exe
kavmm.exe
LUAL1L.EXE
LUALL.EXE
LUALL.EXE
LUI1NSDLL.DLL
LUINSDLL.DLL
LUINSDLL.DLL
Luup1date.exe
Luupdate.exe
Luupdate.exe
Mcsh1ield.exe
Mcshield.exe
Mcshield.exe
mysuperprog.exe
NAV1APSVC.EXE
NAVAPSVC.EXE
NAVAPSVC.EXE
NPFM1NTOR.EXE
NPFMNTOR.EXE
NPFMNTOR.EXE
outp1ost.exe
outpost.exe
outpost.exe
RuLa1unch.exe
RuLaunch.exe
RuLaunch.exe
s1ymlcsvc.exe
SND1Srvc.exe
SNDSrvc.exe
SNDSrvc.exe
SP1BBCSvc.exe
SPBBCSvc.exe
SPBBCSvc.exe
symlcsvc.exe
symlcsvc.exe
Up222Date.exe
Up2Date.exe
Up2Date.exe
ve6tre5dir.dll
vetredir.dll
vetredir.dll
Vs1Stat.exe
vs6va5ult.dll
Vshw1in32.exe
Vshwin32.exe
Vshwin32.exe
VsStat.exe
VsStat.exe
vsvault.dll
vsvault.dll
zatu6tor.exe
zatutor.exe
zatutor.exe
zatutor.exe
zl5avscan.dll
zlavscan.dll
zlavscan.dll
zlavscan.dll
zlcli6ent.exe
zlclient.exe
zlclient.exe
zo3nealarm.exe
zonealarm.exe
zonealarm.exe
zonealarm.exe
Intentará descargar y ejecutar otros archivos desde numerosos
servidores de Internet.
Este troyano fue detectado proactivamente por la heurística
de NOD32, aún antes de ser agregado a su base de datos.
* Reparación manual
IMPORTANTE: Note que estas instrucciones de limpieza se dan
únicamente como una guía de referencia, ya que la
recuperación de los archivos sobrescritos, dependerá del daño
causado por el troyano desde el momento de ocurrida la
infección, hasta el momento de su detección.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system32\winshost.exe
c:\windows\system32\wiwshost.exe
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\FirstRun
3. Haga clic en la carpeta "FirstRun" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\FirstRun
5. Haga clic en la carpeta "FirstRun" y bórrela.
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
7. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
winshost.exe = "winshost.exe"
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
9. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
winshost.exe = "winshost.exe"
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Alerter
11. Haga clic en la carpeta "Alerter" y cambie el valor de la
entrada "Start" por el siguiente valor:
Start = "dword:00000004"
12. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
13. Haga clic en la carpeta "SharedAccess" y cambie el valor
de la entrada "Start" por el siguiente valor:
Start = "dword:00000002"
14. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\wuauserv
15. Haga clic en la carpeta "wuauserv" y cambie el valor de
la entrada "Start" por el siguiente valor:
Start = "dword:00000002"
16. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que
modifique el archivo HOSTS para protegerlo de ciertos
parásitos, vuelva a ejecutar ese programa para actualizar el
archivo HOSTS con dicha información.
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
* Publicado anteriormente:
VSantivirus No. 1816 Año 9, lunes 27 de junio de 2005
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Incef.A. Se propaga por la red KaZaa y canales de IRC
_____________________________________________________________
http://www.vsantivirus.com/incef-a.htm
Nombre: Incef.A
Nombre NOD32: Win32/Incef.A
Tipo: Gusano de Internet (KaZaa y mIRC)
Alias: Incef, I-Worm.Incef.a, Net-Worm.Win32.Incef.a, Net-
Worm.Win32.Incef.A, NewHeur_PE, W32/Falus-A,
W32/Generic.Delphi.c, W32/Incef.A, W32/Incef.A.worm,
W32/Incefalus.A-tr, W32/Malware, Win32.HLLW.Incef,
Win32.Phaluse.A, Win32.Worm.Incef.A, Win32/Incef.A,
Win32/Incefalus!Worm, Win32:Incef, Worm.Incef.A, Worm.Inclez,
Worm/Incef.A
Fecha: 8/ago/05
Plataforma: Windows 32-bit
Tamaño: 67,584 bytes (UPX)
Gusano que se propaga a través de la red P2P KaZaa, y canales
de IRC (Internet Relay Chat).
Cuando se ejecuta, crea copias de si mismo en las siguientes
ubicaciones y con los siguientes nombres:
\comand.scr
\commando.exe
\mirc\download\my_sister_nude.exe
c:\windows\WinExec.exe
c:\windows\commad.pif
c:\windows\shared\Delphi_2005_Keygen.exe
c:\windows\shared\Delphi_7_Crack.exe
c:\windows\shared\Delphi_9_Keygen.exe
c:\windows\shared\PS2_emulator_bleem.exe
c:\windows\shared\WarDialer.exe
c:\windows\shared\XP_keygen.exe
c:\windows\shared\aim_hack.exe
c:\windows\shared\blue_beep.exe
c:\windows\shared\brazil_blond_XXX.exe
c:\windows\shared\ftp_crack.exe
c:\windows\shared\gta3_trainer.exe
c:\windows\shared\icq_hack.exe
c:\windows\shared\invisible_IP.exe
c:\windows\shared\lesbians_fucking.mpg.exe
c:\windows\shared\msn_crack.exe
c:\windows\shared\pedo_brazilian_kids.mpeg.exe
c:\windows\shared\porn_password_collection.exe
c:\windows\shared\porn_video.mpg.exe
c:\windows\shared\warcraft3_invisible_trainer.exe
c:\windows\shared\win2k_pass_decryptor.exe
c:\windows\srvwin.scr
c:\windows\system32\WinUpdate.exe
c:\windows\system32\Winsys.exe
La carpeta "shared" es creada por el gusano.
NOTA: En todos los casos, "c:\windows" y
"c:\windows\system32" pueden variar de acuerdo al sistema
operativo instalado ("c:\winnt", "c:\winnt\system32",
"c:\windows\system", etc.).
También crea el siguiente archivo en la carpeta usada por el
programa mIRC:
\mirc\incefalus.mrc
Las siguientes entradas en el registro son creadas para
autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinExec = c:\windows\WinExec.exe
Las siguientes entradas son modificadas para deshabilitar las
opciones de seguridad de KaZaa y para compartirse con otros
usuarios:
HKCU\Software\Kazaa\LocalContent
DisableSharing = 0
HKCU\Software\Kazaa\ResultsFilter
firewall_filter = 0
HKCU\Software\Kazaa\ResultsFilter
virus_filter = 0
HKCU\Software\Kazaa\LocalContent
Dir0 = "012345:C:\WINDOWS\shared"
Dir1 = "012345:C:\WINDOWS\shared"
dir2 = "012345:C:\WINDOWS\shared"
dir3 = "012345:C:\WINDOWS\shared"
dir4 = "012345:C:\WINDOWS\shared"
dir5 = "012345:C:\"
El gusano también modifica el archivo MIRC.INI para que al
ejecutarse este programa, pueda propagarse a otros usuarios
que compartan los mismos canales de chat.
* Reparación manual
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\LocalContent
3. Haga clic en la carpeta "LocalContent" y en el panel de la
derecha, bajo la columna "Datos", busque y borre las
siguientes entradas:
Dir0 = "012345:C:\WINDOWS\shared"
Dir1 = "012345:C:\WINDOWS\shared"
dir2 = "012345:C:\WINDOWS\shared"
dir3 = "012345:C:\WINDOWS\shared"
dir4 = "012345:C:\WINDOWS\shared"
dir5 = "012345:C:\"
DisableSharing = 0
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Kazaa
\ResultsFilter
5. Haga clic en la carpeta "ResultsFilter" y en el panel de
la derecha, bajo la columna "Datos", busque y borre las
siguientes entradas:
firewall_filter = 0
virus_filter = 0
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre la siguiente entrada:
WinExec = c:\windows\WinExec.exe
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* KaZaa y mIRC
Luego de la limpieza de este gusano deberá modificar la
configuración de las aplicaciones KaZaa y mIRC a sus valores
por defecto.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Landis.B. Se propaga enviándose por MSN Messenger
_____________________________________________________________
http://www.vsantivirus.com/landis-b.htm
Nombre: Landis.B
Nombre NOD32: Win32/Landis.B
Tipo: Gusano de Internet y caballo de Troya
Alias: Landis.B, BackDoor.Generic.1067, BackDoor.Generic.HMK,
Backdoor.Landis.C, Backdoor.Win32.Landis.c,
Backdoor.Win32.Rbot.Gen, BDS/Landis.A.1, Trojan.Landis.C,
W32.Chod@mm, W32/Chode-E, W32/Generic.m, W32/Landis.B-bdr,
W32/Suspicious_M.gen, W32/Tobecho.D.worm, Win32.Nochod.E,
Win32/Landis.B, Win32/Landis.B, Win32/Mytob.112170!Worm,
Win32:Landis, Worm.Mytob.GH
Fecha: 8/ago/05
Plataforma: Windows 32-bit
Tamaño: 112,170 bytes (PE_PATCH, MEWBUNDLE, MEW)
Este gusano se propaga vía MSN Messenger. Para ello envía el
siguiente mensaje a toda la lista de contactos del programa:
hey, is this you?
http:://www.vbulettin.com/?????msn.php?email=[dirección]
El usuario que recibe y acepta el mensaje, debe hacer clic en
el enlace para descargar otro archivo, que es el gusano
propiamente dicho. La infección ocurre si ejecuta dicho
archivo.
Al mismo tiempo, crea una carpeta con nombre al azar y los
siguientes archivos:
c:\windows\system32\[nombre al azar]\csrss.exe
c:\windows\system32\[nombre al azar]\csrss.dat
c:\windows\system32\[nombre al azar]\csrss.ini
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Crea las siguientes entradas en el registro, las primeras dos
para autoejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
csrss = c:\windows\system32\[nombre al azar]\csrss.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
csrss = c:\windows\system32\[nombre al azar]\csrss.exe
HKCU\Software\Chode
Installed = 1
HKCR\Chode
Installed = 1
También modifica las siguientes entradas, para deshabilitar
la herramienta de edición del registro y realizar otros
cambios en la seguridad del sistema:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = 1
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = 4
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
NoAdminPage = 1
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
Hidden = 2
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
SuperHidden = 0
En equipos con Windows 95, 98 o ME, agrega las siguientes
entradas al archivo WIN.INI:
[windows]
run = c:\windows\system32\[nombre al azar]\csrss.exe
load = c:\windows\system32\[nombre al azar]\csrss.exe
El gusano también instala una puerta trasera en el equipo
infectado, que un atacante remoto podrá utilizar para
realizar las siguientes acciones, entre otras:
- Actualizarse a si mismo.
- Desactivar algunos antivirus.
- Enviar correos electrónicos.
- Modificar el archivo HOSTS.
- Realizar ataques de denegación de servicios.
- Robar contraseñas.
Intenta conectarse a los siguientes sitios:
http:://update.ch0de.info
http:://bk.vbulettin.com
http:://bk.ch0dewaffles.info
http:://superaids.zapto.org
Además, intenta finalizar los siguientes procesos
relacionados con aplicaciones de seguridad y antivirus:
bbeagle.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccsetmgr.exe
d3dupdate.exe
enterprise.exe
gcasdtserv.exe
gcasserv.exe
hijackthis.exe
i11r54n4.exe
irun4.exe
isafe.exe
issvc.exe
kav.exe
kavsvc.exe
mcagent.exe
mcdash.exe
mcinfo.exe
mcmnhdlr.exe
mcshield.exe
mcvsescn.exe
mcvsftsn.exe
mcvsrte.exe
mcvsshld.exe
mpfagent.exe
mpfservice.exe
mpftray.exe
msblast.exe
msconfig.exe
mscvb32.exe
mskagent.exe
mwincfg32.exe
navapsvc.exe
navapw32.exe
navw32.exe
npfmntor.exe
outpost.exe
pandaavengine.exe
pccguide.exe
pcclient.exe
pcctlcom.exe
penis32.exe
regedit.exe
smc.exe
sndsrvc.exe
spbbcsvc.exe
symlcsvc.exe
sysinfo.exe
sysmonxp.exe
teekids.exe
tmntsrv.exe
tmpfw.exe
tmproxy.exe
usrprmpt.exe
vsmon.exe
wincfg32.exe
winsys.exe
winupd.exe
zapro.exe
zlclient.exe
Puede modificar el archivo hosts, creando las siguientes
entradas para evitar que el usuario pueda acceder a dichos
sitios:
127 .0 .0 .1 avp .com
127 .0 .0 .1 ca .com
127 .0 .0 .1 customer .symantec .com
127 .0 .0 .1 dispatch .mcafee .com
127 .0 .0 .1 download .mcafee .com
127 .0 .0 .1 fastclick .net
127 .0 .0 .1 f-secure .com
127 .0 .0 .1 ftp .f-secure .com
127 .0 .0 .1 ftp .sophos .com
127 .0 .0 .1 grisoft .com
127 .0 .0 .1 housecall .trendmicro .com
127 .0 .0 .1 kaspersky .com
127 .0 .0 .1 liveupdate .symantec .com
127 .0 .0 .1 mast .mcafee .com
127 .0 .0 .1 mcafee .com
127 .0 .0 .1 merijn .org
127 .0 .0 .1 my-etrust .com
127 .0 .0 .1 nai .com
127 .0 .0 .1 networkassociates .com
127 .0 .0 .1 pandasoftware .com
127 .0 .0 .1 rads .mcafee .com
127 .0 .0 .1 secure .nai .com
127 .0 .0 .1 securityresponse .symantec .com
127 .0 .0 .1 service1 .symantec .com
127 .0 .0 .1 sophos .com
127 .0 .0 .1 spywareinfo .com
127 .0 .0 .1 support .microsoft .com
127 .0 .0 .1 symantec .com
127 .0 .0 .1 trendmicro .com
127 .0 .0 .1 update .symantec .com
127 .0 .0 .1 updates .symantec .com
127 .0 .0 .1 us .mcafee .com
127 .0 .0 .1 vil .nai .com
127 .0 .0 .1 viruslist .com
127 .0 .0 .1 www .avp .com
127 .0 .0 .1 www .awaps .net
127 .0 .0 .1 www .ca .com
127 .0 .0 .1 www .fastclick .net
127 .0 .0 .1 www .f-secure .com
127 .0 .0 .1 www .grisoft .com
127 .0 .0 .1 www .kaspersky .com
127 .0 .0 .1 www .mcafee .com
127 .0 .0 .1 www .merijn .org
127 .0 .0 .1 www .microsoft .com
127 .0 .0 .1 www .my-etrust .com
127 .0 .0 .1 www .nai .com
127 .0 .0 .1 www .networkassociates .com
127 .0 .0 .1 www .pandasoftware .com
127 .0 .0 .1 www .sophos .com
127 .0 .0 .1 www .spywareinfo .com
127 .0 .0 .1 www .symantec .com
127 .0 .0 .1 www .trendmicro .com
127 .0 .0 .1 www .viruslist .com
127 .0 .0 .1 www .zonelabs .com
127 .0 .0 .1 www3 .ca .com
127 .0 .0 .1 zonelabs .com
El gusano puede liberar alguna de las siguientes
aplicaciones, utilizadas para robar contraseñas:
Protected Storage Pass View
Intelligent TCPIP.SYS patcher
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Descargar herramienta de limpieza
1. Descargue el siguiente archivo:
http://www.vsantivirus.com/landis-b.htm#rep
2. Guárdelo en una carpeta a la que luego pueda acceder
fácilmente.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system32\[nombre al azar]\csrss.exe
c:\windows\system32\[nombre al azar]\csrss.dat
c:\windows\system32\[nombre al azar]\csrss.ini
También borre la carpeta [NOMBRE AL AZAR].
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Haga doble clic sobre el archivo RESTORE.REG descargado
antes (ver "Descargar herramienta de limpieza"), y acepte los
cambios.
2. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
3. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\Chode
4. Haga clic en la carpeta "Chode" y bórrela.
5. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Chode
6. Haga clic en la carpeta "Chode" y bórrela.
7. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Explorer
\Advanced
8. Haga clic en la carpeta "Advanced" y bajo la columna
"Nombre", busque y modifique las entradas "Hidden",
"ShowSuperHidden" y "SuperHidden", para que contengan lo
siguiente:
Hidden = 1
ShowSuperHidden = 1
SuperHidden = 1
9. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\System
10. Haga clic en la carpeta "System" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
NoAdminPage = 1
11. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
12. Haga clic en la carpeta "Run" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
csrss = c:\windows\system32\[nombre al azar]\csrss.exe
13. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
14. Haga clic en la carpeta "Run" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
csrss = c:\windows\system32\[nombre al azar]\csrss.exe
15. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
16. Haga clic en la carpeta "SharedAccess" y bajo la columna
"Nombre", busque y modifique la entrada "Start", para que
solo contenga lo siguiente:
Start = 2
17. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
* Editar el archivo WIN.INI (Windows 95, 98, Me)
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente:
[windows]
run = c:\windows\system32\[nombre al azar]\csrss.exe
load = c:\windows\system32\[nombre al azar]\csrss.exe
Debe quedar como:
[windows]
run =
load =
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que
modifique el archivo HOSTS para protegerlo de ciertos
parásitos, vuelva a ejecutar ese programa para actualizar el
archivo HOSTS con dicha información.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Mytob.IM. Instala BOT y troyano, quita protecciones
_____________________________________________________________
http://www.vsantivirus.com/mytob-im.htm
Nombre: Mytob.IM
Nombre NOD32: Win32/Mytob.IM
Tipo: Gusano de Internet
Alias: Mytob.IM, Win32/Mytob.IM, W32/Mytob.IM
Fecha: 8/ago/05
Plataforma: Windows 32-bit
Tamaño: variable
Gusano que se propaga masivamente por correo electrónico,
enviándose como adjunto a todas las direcciones de email
encontradas en diferentes archivos de la máquina infectada.
Utiliza las funcionalidades de un troyano del tipo BOT para
controlar el PC infectado vía IRC (un BOT es un programa
robot que actúa como un usuario y está preparado para
responder o actuar automáticamente ejecutando ciertos
comandos).
El componente BOT que el gusano ejecuta, intenta conectarse a
un canal de IRC en un servidor determinado, y queda a la
espera de comandos de un usuario remoto.
Un atacante podrá realizar las siguientes acciones (entre
otras posibles) en el equipo infectado:
- Actualizarse a si mismo
- Borrar archivos
- Descargar archivos
- Ejecutar archivos
- Ejecutar otros comandos de IRC
- Obtener información del equipo infectado
- Reiniciar la computadora
También modifica el archivo HOSTS para evitar que el usuario
pueda acceder a determinadas páginas y sitios de
actualizaciones de determinados antivirus, y es capaz de
finalizar determinadas tareas relacionadas con varias
aplicaciones de seguridad.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Ole
3. Haga clic en la carpeta "Ole" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\System
\CurrentControlSet
\Control
\Lsa
7. Haga clic en la carpeta "Lsa" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Ole
9. Haga clic en la carpeta "Ole" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
11. Haga clic en la carpeta "Run" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
12. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
12. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
13. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
14. Haga clic en la carpeta "Winlogon" y en el panel de la
derecha busque la entrada "Shell", y deje en "Datos" solo
"Explorer.exe".
Shell = Explorer.exe
15. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
16. Haga clic en la carpeta "Lsa" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
17. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
18. Haga clic en la carpeta "SharedAccess" y en el panel de
la derecha, bajo la columna "Nombre", busque y cambie el
valor de la siguiente entrada por "2" en hexadecimal:
Start = "2"
19. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
20. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que
modifique el archivo HOSTS para protegerlo de ciertos
parásitos, vuelva a ejecutar ese programa para actualizar el
archivo HOSTS con dicha información.
6. Reinicie su computadora.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones de
la mayoría de los fabricantes son diarias. No existen los
"virus demasiados nuevos y sin antídotos", la reacción de las
casas de antivirus es inmediata en todos los casos. Pero
mejor pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 1859 Año 9, martes 9 de agosto de 2005
|
Responder a este mensaje
