Mostrando mensaje 905     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1854 Año 9, jueves 4 de agosto de 2005 Fecha: Jueves, 4 de Agosto, 2005  03:09:04 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1854 Año 9, jueves 4 de agosto de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Savage.A. Se propaga por e-mail, finaliza antivirus 2 - KillAV.FB. Finaliza procesos de antivirus y firewalls 3 - Xipi.A. Se propaga por redes P2P y mensaje en español 4 - Aimbot.G. Se propaga por AOL Instant Messaging _____________________________________________________________ 1 - Savage.A. Se propaga por e-mail, finaliza antivirus _____________________________________________________________ http://www.vsantivirus.com/savage-a.htm Nombre: Savage.A Nombre NOD32: Win32/Savage.A Tipo: Gusano de Internet Alias: Savage, I-Worm/Mytob.QN, PE_FINALDO.B, Proxy-Hino, Trojan.Proxy.Daemonize.AW, Trojan.Proxy.Demonize.Aw, Trojan- Proxy.Win32.Daemonize.aw, W32.Netsky.AL@mm, W32/Finaldo.B, W32/Mydoom.bs@MM, W32/Tame-A, Win32.Netsky.AI, Win32/Savage.A, Win32:Daemonize-D Fecha: 11/jul/05 Plataforma: Windows 32-bit Tamaño: 51,200 bytes Este gusano se propaga en mensajes infectados con las siguientes características: De: [dirección falsa] Asunto: [uno de los siguientes] [vacío] Attention!!! Do not reply to this email Error Good day hello Mail Delivery System Mail Transaction Failed Server Report Status Texto del mensaje: [uno de los siguientes] Mail transaction failed. Partial message is available. The message contains Unicode characters [and has been sent as a binary attachment. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. Do not visit these sites!!! You have visited illegal websites. I have a big list of the websites you surfed. You think it's funny? You are stupid idiot!!! I'll send the attachment to your ISP and then I'll be watching how you will go to jail, punk!!! Your credit card was charged for $500 USD. For additional information see the attachment ESMTP [Secure Mail System #334]: Secure message is attached. Encrypted message is available. Delivered message is attached. Can you confirm it? Binary message is available. am shocked about your document! Are you a spammer? (I found your email on a spammer website!?!) Bad Gateway: The message has been attached. Here is your documents you are requested. Attention! New self-spreading virus! Be ????? tes Technology, Inc. All Rights Reserved New terms and conditions for credit card ????? he World Bank Group, All Rights Reserved Thank you for registering at WORLDXXXPAS ????? al good choise to go to WORLDXXXPASS.COM Attention! Your IP was logged by The Int ????? the National White Collar Crime Center Datos adjuntos: [uno de los siguientes] body.??? data.??? doc.??? docs.??? document.??? file.??? message.??? readme.??? rules.??? Donde .??? puede ser una de las siguientes extensiones: .doc .exe .htm .pif .scr .txt Cuando se ejecuta, abre el Bloc de notas mostrando basura. Crea los siguientes archivos en el equipo infectado: c:\windows\system32\lsasrv.exe c:\windows\system32\iexplor.dll c:\windows\system32\shlapiw.dll c:\windows\system32\hserv.sys c:\windows\system32\version.ini \TEMP\Me^sa~e#4% NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. Crea las siguientes entradas en el registro, las primeras dos de ellas para autoejecutarse en cada reinicio del sistema: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run lsass = "c:\windows\system32\lsasrv.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon shell = explorer.exe "c:\windows\system32\lsasrv.exe" HKCU\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\SSavage HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\SSavage Para propagarse por correo electrónico, el gusano busca direcciones en archivos con las siguientes extensiones: .adb .asa .asc .asm .asp .cgi .con .csp .dbx .dlt .dwt .edm .hta .htc .htm .inc .jsp .jst .lbi .php .rdf .rss .sht .ssi .stm .tbb .tpl .txt .vbp .vbs .wml .xht .xml .xsd .xst Evita enviarse a direcciones que contengan alguna de las siguientes cadenas: .gov .mil arin. asketst avp be_loyal: berkeley borlan bsd example fido foo. fsf. gnu google gov. iana ibm.com icrosoft ietf inpris isc.o isi.e kernel linux math mit.e mozilla mydomai nodomai panda pgp rfc-ed ripe. ruslis secur sendmail sopho syma tanford.e unix usenet utgers.ed Para enviar los mensajes infectados con las características antes descriptas, el gusano utiliza su propio motor SMTP. Mientras se ejecuta, el gusano intenta terminar los siguientes procesos relacionados con conocidos productos de seguridad (antivirus y cortafuegos): bbeagle d3dupdate i11r54n4 irun4 MSBLAST msblast mscvb32 navapw32 navw32 netstat outpost PandaAVEngine Penis32 rate ssate sysinfo SysMon taskmon teekids wincfg32 winsys winupd zapro zonealarm El gusano también intenta copiarse en las carpetas compartidas de conocidas aplicaciones P2P. * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \SSavage 3. Haga clic en la carpeta "SSavage" y bórrela. 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 5. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, busque la siguiente entrada bajo la columna "Nombre": Shell 6. Modifique el valor de "Shell" para que aparezca solo esto: Shell = Explorer.exe 7. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \SSavage 8. Haga clic en la carpeta "SSavage" y bórrela. 9. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 10. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 11. Grabe los cambios y salga del bloc de notas 12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - KillAV.FB. Finaliza procesos de antivirus y firewalls _____________________________________________________________ http://www.vsantivirus.com/killav-fb.htm Nombre: KillAV.FB Nombre NOD32: Win32/KillAV.FB Tipo: Caballo de Troya Alias: KillAV.FB, Trojan.Win32.KillAV.fb, Trojan.AVKill.105, TR/Descr4y, Trojan.KillAV.FB, Trj/Downloader.DBQ, Win32/KillAV.FB, Troj/KillAV-AM Fecha: 14/jun/05 Plataforma: Windows 32-bit Caballo de Troya cuya única misión es finalizar los procesos de conocidos antivirus y cortafuegos. Un sistema infectado por este troyano, podría ser atacado por cualquier otro código malicioso, ya que no tendría protección. Cuando el troyano se ejecuta crea una copia de si mismo dentro de la carpeta HELP de Windows: c:\windows\help\csrss.exe NOTA: No confundir el archivo CSRSS.EXE creado por el troyano en la carpeta HELP, con el archivo del mismo nombre en la carpeta SYSTEM32, que es un archivo legítimo de Windows. La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Crea la siguiente entrada en el registro de Windows, para autoejecutarse en cada reinicio: HKCU\Software\Microsoft\Windows\CurrentVersion\Run System = c:\windows\help\csrss.exe Mientras se ejecuta, intenta desactivar antivirus y otras aplicaciones de seguridad que se estén ejecutando en el sistema infectado. Además de ello, intenta desactivar específicamente los siguientes procesos: outpostfirewall kavsvc kav.exe ZAPRO.exe El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P. Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios. Otros troyanos también pueden descargarlo y ejecutarlo en el sistema. * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Xipi.A. Se propaga por redes P2P y mensaje en español _____________________________________________________________ http://www.vsantivirus.com/xipi-a.htm Nombre: Xipi.A Nombre NOD32: Win32/Xipi.A Tipo: Gusano de Internet Alias: Xipi.A, Email-Worm.Win32.Xipi.a, Email- Worm.Win32.Xipi.A, I-Worm/Xipi.A, W32/Xeff.A-net, W32/Xeff.worm!p2p, W32/Xipi.A.worm, Win32.Xipi.A@mm, Win32/Xipi.A, Worm/Xipi.A, WORM_XIPI.A Fecha: 18/jun/05 Plataforma: Windows 32-bit Tamaño: 66,048 bytes Puede llegar a nuestro PC al ser descargado de redes de intercambio de archivos P2P. También se puede propagar enviándose como adjunto en un mensaje en español con las siguientes características: Para: Usuarios de txipinet Asunto: Por favor pulse el boton: [Enviar] Texto: Los videos se descargan de www .txipinet .com (con las nuevas claves) Datos adjuntos: Claves_acceso_para_videos_X.zip Para enviar este mensaje, utiliza su propio motor SMTP, seleccionando las direcciones a las que se enviará, de la lista de contactos del Microsoft Outlook y Outlook Express. Cuando se ejecuta, el gusano inyecta su código en EXPLORER.EXE, corriendo de esta forma oculto, sin ser detectado como un proceso desde el Administrador de Tareas de Windows. La primera vez que se ejecuta, el gusano crea el siguiente archivo en la carpeta del sistema de Windows: c:\windows\system32\jxef1104.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Crea un archivo .ZIP en la misma carpeta donde se ejecuta, con el mismo nombre del archivo del gusano: jxef1104.zip Este .ZIP contiene una carpeta comprimida, con el nombre de las tres últimas letras de la carpeta en que se encuentra. Por ejemplo, si JXEF1104.ZIP está en la carpeta \ESCRITORIO\, el nombre de la carpeta comprimida dentro del ZIP será RIO. Esta carpeta contiene a su vez una copia del gusano. También crea el siguiente archivo en el directorio raíz del disco del sistema: c:\jxef_n3x763n3r47ion.tea Este archivo es una copia encriptada del gusano. También libera los siguientes archivos en el directorio del sistema: c:\windows\system32\xrf_dbx.xrf c:\windows\system32\xrf_htm.xrf c:\windows\system32\xrf_wab.xrf El último de estos archivos contiene las direcciones de correo a las que enviará el mensaje infectado. Para autoejecutarse en cada reinicio de Windows, el gusano crea la siguiente entrada en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run jxef1104 = c:\windows\system32\jxef1104.exe El gusano también intenta propagarse por redes P2P, copiándose en las carpetas compartidas de las aplicaciones de intercambio de archivos entre usuarios más conocidas (KaZaa, eMule, etc.): C:\Program files\Bearshare\Shared\ C:\Program files\eDonkey2000\Incoming\ C:\Program files\eMule\Incoming\ C:\Program files\Grokster\My Grokster\ C:\Program files\ICQ\Shared Folder\ C:\Program files\Kazaa Lite\My Shared Folder\ C:\Program files\Kazaa\My Shared Folder\ C:\Program files\LimeWire\Shared\ C:\Program files\Morpheus\My Shared Folder\ C:\Program files\Overnet\Incoming\ C:\Program files\Tesla\Files\ C:\Program files\TorrenTopia\Downloads\ C:\Program files\WinMX\Shared\ C:\Archivos de programa\Bearshare\Shared\ C:\Archivos de programa\eDonkey2000\Incoming\ C:\Archivos de programa\eMule\Incoming\ C:\Archivos de programa\Grokster\My Grokster\ C:\Archivos de programa\ICQ\Shared Folder\ C:\Archivos de programa\Kazaa Lite\My Shared Folder\ C:\Archivos de programa\Kazaa\My Shared Folder\ C:\Archivos de programa\LimeWire\Shared\ C:\Archivos de programa\Morpheus\My Shared Folder\ C:\Archivos de programa\Overnet\Incoming\ C:\Archivos de programa\Tesla\Files\ C:\Archivos de programa\TorrenTopia\Downloads\ C:\Archivos de programa\WinMX\Shared\ Para copiarse en dichas carpetas utiliza los siguientes nombres de archivos: [Pr0zAk].jpg .exe [sick].jpg .exe _isaac_.jpg .exe _kRaKeR_.jpg .exe 10_big_images_Jenna_Jameson.jpg .exe 10_imagenes_de_Harry_Potter.jpg .exe 5_fotos_de_BISBAL_2003.jpg .exe Aida_Gran_Hermano_la_foto_censurada.jpg .exe ASzY.jpg .exe BELLEZA.jpg .exe bi0s.jpg .exe Bradd_Pitt_nude.jpg .exe Britney_Spears.jpg .exe ByTracK.jpg .exe caja_negra_avion_11S.jpg .exe Cannabis.jpg .exe captura_primer_plan_Ibarretxe.jpg .exe caratula_Buleria_David_Bisbal.jpg .exe cintas_del_11M.jpg .exe CITA2.jpg .exe CLAVE.jpg .exe CONFESION.jpg .exe Cristina_Aguilera_nude!.jpg .exe CUERPO.jpg .exe Depeche_Mode_caratulas.jpg .exe DESEOS.jpg .exe documentos_ineditos_11S.jpg .exe documentos_privados_23F.jpg .exe DOOM3_cracked.exe Enciclopedia Encarta 2005 Deluxe.exe eSn_mTn.jpg .exe eXeem_evaluation_version_beta.exe FEOS.jpg .exe formula_de_la_polvora.zip .exe fotos_Bisbal_playa_2004.jpg .exe FREEDOM.jpg .exe FreiHeit.jpg .exe FreSnor.jpg .exe GomeZ.jpg .exe GoN_.jpg .exe Gon_.jpg .exe GORDA.jpg .exe GriYo.jpg .exe HardPorn.mpg .exe HOMBRE.jpg .exe HUMANO.jpg .exe Ibarretxe_a_microfono_cerrado.jpg .exe imagenes_ineditas_golpe_estado_23F.jpg .exe INFIEL.jpg .exe iS0tope.jpg .exe JOVEN.jpg .exe Julia_Otero_tanga.jpg .exe khanete.jpg .exe krabe_.jpg .exe la_verdadera_cara_de_Lokutus_(imagenes_y_emails).jpg .exe la_verdadera_cara_de_Nennito_(imagenes_y_emails).jpg .exe la_verdadera_cara_de_NetSAVAGE_(imagenes_y_emails).jpg .exe la_verdadera_cara_de_TeToniK_(imagenes_y_emails).jpg .exe la_verdadera_jeta_de_Garrafon_(imagenes_y_emails).jpg .exe la_verdadera_jeta_de_GriYo_(imagenes_y_emails).jpg .exe la_verdadera_jeta_de_GuYRuleZ_(imagenes_y_emails).jpg .exe las_fotos_de_Irak_(ineditas!!!).jpg .exe las_fotos_de_Tella_y_milon_dandose_el_lote_(montaje_PhotoShop).jpg.exe las_mejores_imagenes_de_Rocio_Madrid.jpg .exe LISTArc.jpg .exe lo_mas_duro_del_porno_casero.jpg .exe MeTaLGoD.jpg .exe mis_fotos.jpg .exe MONSTRUO.jpg .exe MUJER.jpg .exe MUSIC.jpg .exe n8fall.jpg .exe Nacho_Vidal_por_la_puerta_trasera.mpg .exe NiGtHmArE.jpg .exe no_compartir_mi_novia_en_pelotas.mpg. .exe OuterMind.jpg .exe OVERNET_eDonKey_cracked.exe Pamela_Anderson_antes_y_despues.jpg .exe PASION.jpg .exe Paulina_Rubio_trasero.jpg .exe PHOTOSHOP 8.1 (Spanish version) (plug-in extras).exe PHOTOSHOP CS 2005 (spanish).exe pocholo_en_pelotas_saliendo_del_rio.jpg .exe Pr0zAk.jpg .exe Radar.jpg .exe ReeD_.jpg .exe Rita_Faltoyano_nude_trasero.jpg .exe rmd160.jpg .exe Rojie.jpg .exe s_CAP3.jpg .exe Sarda_despotrica_contra_Rocio_Madrid.jpg .exe SECRETO.jpg .exe Sex.mpeg .exe ShAdOwS_T.jpg .exe Slow.jpg .exe SOFIA_NIETO_PACK_mejores_fotos.jpg .exe SourViVor.tiff .exe The6Guest.jpg .exe The7Guest.jpg .exe The8Guest.jpg .exe The9Guest.jpg .exe TheWizard.jpg .exe Tom_Cruise_vestuario_El_Ultimo_Samurai.jpg .exe Tux.jpg .exe V|RuZ.jpg .exe VeNt0r.jpg .exe VideoX_con_fotos_nenazas.mpg .exe ViR[-_-].jpg .exe Virico.jpg .exe Voider.jpg .exe W666_.jpg .exe Wintermute.jpg .exe Xezaw.jpg .exe XXX_.jpg .exe YO.jpg .exe Zert.jpg .exe ZIP_extractor_las_fotos_de_Patricia_Gaztanaga.jpg .exe * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\jxef_n3x763n3r47ion.tea c:\windows\system32\jxef1104.exe c:\windows\system32\xrf_dbx.xrf c:\windows\system32\xrf_htm.xrf c:\windows\system32\xrf_wab.xrf Claves_acceso_para_videos_X.zip jxef1104.zip Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Publicado anteriormente: VSantivirus No. 1808 Año 9, domingo 19 de junio de 2005 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Aimbot.G. Se propaga por AOL Instant Messaging _____________________________________________________________ http://www.vsantivirus.com/aimbot-g.htm Nombre: Aimbot.G Nombre NOD32: Win32/Aimbot.G Tipo: Gusano de Internet Alias: Aimbot.G, Backdoor.IRCBot.BM, Backdoor.Win32.Aimbot.g, Trojan.Agent-84, W32/Gaobot.worm.gen.e, W32/Oscabot-M, Win32/Aimbot.G, Worm/Mydoom.S2 Fecha: 1/ago/05 Plataforma: Windows 32-bit Gusano que se propaga por AOL Instant Messaging (AIM), enviándose como un enlace a toda la lista de contactos del programa, en un mensaje como el siguiente: Tell me this isn't you! La palabra "this" tiene un enlace al gusano en otra máquina infectada. Cuando el usuario descarga y ejecuta ese archivo, el gusano se copia en la siguiente ubicación con atributos de oculto (+H): c:\windows\msi.exe NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = "Explorer.exe c:\windows\msi.exe" El gusano se conecta a un servidor de IRC por una puerta trasera, y queda a la espera de comandos de un atacante remoto para enviar los mensajes. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 3. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, busque la siguiente entrada bajo la columna "Nombre": Shell 4. Modifique el valor de "Shell" para que aparezca solo esto: Shell = Explorer.exe 5. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1854 Año 9, jueves 4 de agosto de 2005