| Asunto: | VSantivirus No. 1903 Año 9, jueves 22 de setiembre d e 2005 | | Fecha: | Jueves, 22 de Septiembre, 2005 05:54:28 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1903 Año 9, jueves 22 de setiembre de 2005
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - TrojanDownloader.Small.L. Muestra mensaje en español
2 - TrojanDropper.Small.M. Muestra texto y libera gusano
3 - TrojanDownloader.Small.NAA. Descarga y ejecuta gusano
4 - Bagle.CZ. Elimina antivirus y descarga archivos
5 - Bobax.AG. Utiliza e-mail y la vulnerabilidad LSASS
6 - Bobax.AF. Utiliza e-mail y la vulnerabilidad LSASS
7 - Bobax.AE. Utiliza e-mail y la vulnerabilidad LSASS
8 - Mytob.KI. Instala BOT y troyano, quita protecciones
9 - Exploit.Mht.BE a BG. Exploit que ejecuta archivos CHM
_____________________________________________________________
1 - TrojanDownloader.Small.L. Muestra mensaje en español
_____________________________________________________________
http://www.vsantivirus.com/trojandownloader-small-l.htm
Nombre: TrojanDownloader.Small.L
Nombre NOD32: VBS/TrojanDownloader.Small.L
Nombre más conocido: Virus Libertad
Tipo: Gusano de Internet
Alias: Libertad, Small.L, Trojan.MulDrop.478,
Trojan.VBS.Sober.AA.Dropper, Trojan-Dropper.VBS.Small.l,
VBS.Licu.A, VBS/Licu.A!Worm, VBS/Pegas-A,
VBS/TrojanDownloader.Small.L, W32.Pexmor@mm, W32/Licu.worm,
W32/Licu.worm.dr, W32/Pexmor.A.worm, W32/Red.W
Fecha: 21/set/05
Plataforma: Windows 32-bit
Tamaño: 41,225 bytes
Gusano que se propaga por correo electrónico, en un mensaje
como el siguiente:
De: Boletin Humor Granma humor @ granma .inf.cu
Asunto: Curiosidades en la red
Texto del mensaje:
Esta ves le traemos algo bien curioso a nuestros
lectores ....
Datos adjuntos: bailando.vbe
Cuando el archivo BAILANDO.VBE es ejecutado, se crean los
siguientes archivos:
C:\rep.txt
C:\rep.ya
c:\x9aGK.exe
sen.bat
C:\WINDOWS\Drivers\SEXO.pif
\TEMP\bailando.vbe
\TEMP\desktop.ini
\TEMP\folder.htm
\TEMP\folder.htt
\TEMP\LSASS.exe
\TEMP\MSMSGS.exe
\TEMP\OfficeHost.vbs
\TEMP\SVCHOST.exe
\TEMP\Winword.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.). La carpeta TEMP está ubicada en
"c:\windows\temp", "c:\winnt\temp", o "c:\documents and
settings\[usuario]\local settings\temp", de acuerdo al
sistema operativo.
Los siguientes archivos también pueden ser copiados en el
directorio raíz de todas las unidades de disco:
Apagones a la italiana.vbs
Coca Cola del olvido.vbs
comicos.vbs
Cuentos.vbs
Desktop.ini
EL Mamut.vbs
Fordel.htt
humor.vbs
juego.vbs
La cancion del condon.vbs
La caperucita y la abuelita.vbs
La Cerveza.vbs
La mejor amiga del hombre.vbs
La ultima moda en las malvinas.vbs
Mujeres locas.vbs
musica.vbs
Por que los hombres no paren.vbs
Por que se extinguieron los dinosaurios.vbs
Profesias de Nostradamus.vbs
Record Guines de 2005.vbs
Test de ignorancia.vbs
Una gorda bien gorda.vbs
video.vbs
El gusano intenta borrar todos los valores dentro de las
siguientes claves:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunService
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
Crea las siguientes entradas para autoejecutarse en cada
reinicio:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
OfficeQuickAccess = "[camino]\OfficeHost.vbs"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
NortonAntivirus = "[camino]\LSASS.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NortonAntivirus = "[camino]\LSASS.exe"
También modifica o crea las siguientes entradas:
HKCU\Identities\[CLSID]\Software
\Microsoft\Outlook Express\5.0\Mail
Compose Use Stationery = "1"
Stationery Name = "[camino]\folder.htm"
Wide Stationery Name = "[camino]\folder.htm"
HKCU\Software\Microsoft\Office\10.0\Common\MailSettings
NewStationery = ""
HKCU\Software\Microsoft\Windows NT
\CurrentVersion\Windows Messaging Subsystem
\Profiles\Microsoft Outlook Internet Settings
\0a0d020000000000c000000000000046
001e0360 = "blank"
Donde [CLSID] es un valor del tipo:
{CBD52F44-2263-4AAB-ABC3-C5E116AB7BCE}
El gusano intenta enviarse por correo electrónico, en un
mensaje como el descripto arriba, utilizando su propio motor
SMTP, a direcciones obtenidas de archivos de la máquina
infectada con las siguientes extensiones:
.eml
.htm
.htt
.wab
Cada cierto tiempo, intenta copiar en cualquier disquete
insertado en la unidad A, el archivo FOLDER.HTT:
a:\folder.htt
Los días 19 al 21 inclusive, de cualquier mes del año, cada
vez que se reinicia el sistema, se muestra una pantalla con
el siguiente texto y un botón de ACEPTAR:
Esta computadora ha sido infectada por el virus LIBERTAD.
Como protesta por la violación del derecho a la libertad
de expresión en Cuba.
En estos momentos toda la información de su disco duro
esta siendo borrada
El Hobbit
A pesar de lo que afirma el mensaje, el gusano no borrará
ningún archivo.
Para mostrar dicho mensaje en dichos días, crea las
siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
LegalNoticeCaption = "Virus Libertad"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
LegalNoticeText = "Esta computadora ha sido infectada por
el virus LIBERTAD. Como protesta por la violacion del
derecho a la libertad de expresion en Cuba. En estos
momentos toda la informacion de su disco duro esta siendo
borrada El Hobbit"
Cuando el usuario accede al sistema, se mostrarán unas
figuras de color negro que dificultarán el trabajo normal del
equipo.
También intentará enviar mensajes con el destinatario "Virus
Libertad".
* Relacionados:
TrojanDropper.Small.M. Muestra texto y libera gusano
http://www.vsantivirus.com/trojandropper-small-m.htm
TrojanDownloader.Small.NAA. Descarga y ejecuta gusano
http://www.vsantivirus.com/trojandownloader-small-naa.htm
* Reparación manual
NOTA: Tenga en cuenta que el gusano puede aplicar cambios en
el sistema no contemplados en esta descripción.
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Identities
\[CLSID]
\Software
\Microsoft
\Outlook Express
\5.0
\Mail
Donde [CLSID] es un valor del tipo:
{CBD52F44-2263-4AAB-ABC3-C5E116AB7BCE}
5. Haga clic en la carpeta "Mail" y en el panel de la
derecha, bajo la columna "Nonbre", busque y cambie la
siguiente entrada por CERO:
Compose Use Stationery = "0"
6. En el mismo panel de la derecha, busque y borre los
siguientes valores:
Stationery Name
Wide Stationery Name
7. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Office
\10.0
\Common
\MailSettings
8. Haga clic en la carpeta "MailSettings" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
NewStationery
9. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows Messaging Subsystem
\Profiles
\Microsoft Outlook Internet Settings
\0a0d020000000000c000000000000046
10. Haga clic en la carpeta
"0a0d020000000000c000000000000046" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
001e0360 = "blank"
11. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
12. Haga clic en la carpeta "Run" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
13. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
14. Haga clic en la carpeta "Winlogon" y en el panel de la
derecha, bajo la columna "Nombre", busque y borre las
siguientes entradas (no siempre estarán presentes):
LegalNoticeCaption = "Virus Libertad"
LegalNoticeText = "Esta computadora ha sido infectada [etc.]..."
15. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
16. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - TrojanDropper.Small.M. Muestra texto y libera gusano
_____________________________________________________________
http://www.vsantivirus.com/trojandropper-small-m.htm
Nombre: TrojanDropper.Small.M
Nombre NOD32: VBS/TrojanDropper.Small.M
Nombre más conocido: Virus Libertad
Tipo: Gusano de Internet
Alias: Libertad, Small.M, Trojan.Dropper.VBS-2,
Trojan.MulDrop.478, Trojan.VBS.Sober.AA.Dropper, Trojan-
Dropper.VBS.Small.m, VBS/Licu.A!Worm,
VBS/TrojanDropper.Small.M, W32.Pexmor@mm
Fecha: 21/set/05
Plataforma: Windows 32-bit
Tamaño: 40,734 bytes (HTA), 27,755 bytes (CAB/ZIP)
Archivo HTA que al ser abierto por el sistema, muestra el
siguiente mensaje:
Hola:
Mi nombre es Amy Bruce. Yo tengo 14 años y tengo un severo
cáncer de pulmón.
Los médicos dicen que moriré pronto si no me operan para
extirpar el tejido maligno.
El costo de la operación es de 15 000 Dólares y mi familia
no puede pagar esa cifra.
La Fundación "Pide un Deseo"("Make a Wish") , ha convenido
en donar 7 centavos por cada vez que alguien reciba y envíe
adelante este mensaje.
El rastreo lo efectuara AOL y ZDNET como colaboración a la
campaña de toma de conciencia que lleva a cabo la Fundación
"Pide un deseo".
Para todos ustedes que envíen copia de este e-mail, les doy
las gracias y todos aquellos que no lo harán, recuerden que
todo lo que "Va, se regresa".
Tengan corazón, por favor envíen este e-mail a todas sus
amistades.
PD: HACER UN FORWARD NO CUESTA NADA
Dra. Silvia Moguillansky
Coordinadora de Imágenes
Hospital Nacional de Pediatría
"J.P.Garrahan"
ABRE TU CORAZÓN Y COLABORA
______________________________________
Scanned and protected by Panda Antivirus
http:://????niels.com/inflex
Crea y ejecuta el siguiente archivo:
c:\dfv6N1FnYS7heH.exe
Dicho archivo, libera el gusano TrojanDownloader.Small.L.
* Ver descripción completa e instrucciones de limpieza en el
siguiente enlace:
TrojanDownloader.Small.L. Muestra mensaje en español
http://www.vsantivirus.com/trojandownloader-small-l.htm
NOTA: El texto mostrado (con algunas modificaciones),
corresponde a un viejo HOAX descripto en los siguientes
artículos:
Hoax: "Cancer chain letter"
http://www.vsantivirus.com/cancer.htm
La verdad sobre Jessica Mydek, Amy Bruce, Brian Miranda...
http://www.vsantivirus.com/hoax-solidarios.htm
* Relacionados:
TrojanDownloader.Small.NAA. Descarga y ejecuta gusano
http://www.vsantivirus.com/trojandownloader-small-naa.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - TrojanDownloader.Small.NAA. Descarga y ejecuta gusano
_____________________________________________________________
http://www.vsantivirus.com/trojandownloader-small-naa.htm
Nombre: TrojanDownloader.Small.NAA
Nombre NOD32: VBS/TrojanDownloader.Small.NAA
Nombre más conocido: Virus Libertad
Tipo: Gusano de Internet
Alias: Libertad, Small.NAA, Trojan.Dropper.VBS-2,
Trojan.MulDrop.478, Trojan.VBS.Sober.AA.Dropper, Trojan-
Dropper.VBS.Small.l, VBS/Licu.A!Worm,
VBS/TrojanDownloader.Small.NAA, W32.Pexmor@mm
Fecha: 21/set/05
Plataforma: Windows 32-bit
Tamaño: 33,264 bytes
Archivo VBE que al ser abierto, crea y ejecuta el siguiente
archivo:
c:\tz0d4lgELFpkyOCY6aQGBn.exe
Dicho archivo, libera el gusano TrojanDownloader.Small.L.
* Ver descripción completa e instrucciones de limpieza en el
siguiente enlace:
TrojanDownloader.Small.L. Muestra mensaje en español
http://www.vsantivirus.com/trojandownloader-small-l.htm
* Relacionados:
TrojanDropper.Small.M. Muestra texto y libera gusano
http://www.vsantivirus.com/trojandropper-small-m.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Bagle.CZ. Elimina antivirus y descarga archivos
_____________________________________________________________
http://www.vsantivirus.com/bagle-cz.htm
Nombre: Bagle.CZ
Nombre NOD32: Win32/Bagle.CZ
Tipo: Caballo de Troya y gusano de Internet
Alias: Bagle.CZ, Email-Worm.Win32.Bagle.dv, Email-
Worm.Win32.Bagle.gen, I-Worm.Bagle.dv, I-Worm/Bagle,
TR/Bagle.DE, Trj/Mitglieder.FE, Troj/BagDl-Fam,
Trojan.Tooso.Q, Trojan/Bagle.DE, W32/Bagle.EI, W32/Bagle.gen,
W32/Bagle.worm.gen, W32/Mitglieder.fam-tr, W32/Mitglieder.FT,
Win32.Bagle.DK@mm, Win32.HLLM.Beagle.35146, Win32/Bagle.CZ,
Win32/Glieder!ZIP!Trojan, Win32:Beagle-EN, Worm.Bagle.BW,
Worm.Beagle.De
Fecha: 21/set/05
Plataforma: Windows NT, 2000, XP
Tamaño: 35,230 bytes (16,925 bytes ZIP)
Variante del Bagle reportada el 21 de setiembre de 2005,
enviada en forma masiva por medio de spam, en mensajes con el
gusano en un adjunto con extensión .ZIP, conteniendo archivos
con alguno de los siguientes nombres (entre otros):
03.exe
07.exe
09_price.exe
20_09.exe
20_price.exe
price.exe
price_list.exe
prince_09.exe
prs.exe
Cuando se ejecuta, para intentar engañar al usuario abre el
bloc de notas, y luego se copia a si mismo en la siguiente
ubicación:
c:\windows\system32\winshost.exe
Crea las siguientes entradas en el registro para
autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winshost.exe = "c:\windows\system32\winshost.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winshost.exe = "c:\windows\system32\winshost.exe"
También crea las siguientes claves del registro como marca de
infección:
HKEY_CURRENT_USER\Software\FirstRun
FirstRunRR = "dword:00000001"
HKEY_USERS\.DEFAULT\Software\FirstRun
FirstRunRR = "dword:00000001"
Y modifica las siguientes entradas
HKLM\SYSTEM\CurrentControlSet\Services\Alerter
Start = "dword:00000004"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "dword:00000004"
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start = "dword:00000004"
Luego, el troyano libera el siguiente archivo:
c:\windows\system32\wiwshost.exe
WIWSHOST.EXE se trata en realidad de un DLL (Dynamic Link
Library), que se intentará inyectar en el proceso del
Explorer.exe utilizando la función "CreateRemoteThread". Esta
función existe solo en Windows con tecnología NT (NT, 2000,
XP). La misma, crea un hilo nuevo en cualquier proceso y
ejecuta su código.
Luego de la inyección de código, WINSHOST.EXE finaliza su
ejecución, y el proceso malicioso llamado WIWSHOST permanece
ejecutándose encubierto dentro de la tarea del propio
Explorer.
Sobrescribe el archivo HOSTS en
"c:\windows\system32\Drivers\etc\hosts" (en esa ubicación en
Windows NT, 2000 y XP), con la siguiente información (esto
deja el archivo HOSTS con su configuración por defecto):
127.0.0.1 localhost
El troyano también es capaz de finalizar numerosos programas
de seguridad (antivirus y cortafuegos). Para ello, intentará
deshabilitar cualquier servicio en ejecución con los
siguientes nombres:
Ahnlab task Scheduler
alerter
AlertManger
AVExch32Service
avg7alrt
avg7updsvc
AvgCore
AvgFsh
AvgServ
AVPCC
avpcc
AVUPDService
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
BlackICE
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
DefWatch
dvpapi
dvpinit
fsbwsys
FSDFWD
fsdfwd
F-Secure Gatekeeper Handler Starter
FSMA
KAVMonitorService
kavsvc
KLBLMain
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
MonSvcNT
navapsvc
Network Associates Log Service
NISSERV
NISUM
NOD32ControlCenter
NOD32Service
Norman NJeeves
Norman ZANDA
Norton Antivirus Server
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVFNSVR
Pavkre
PavProt
PavPrSrv
PAVSRV
PCCPFW
PersFW
PREVSRV
PSIMSVC
ravmon8
SAVFMSE
SAVScan
SBService
schscnt
SharedAccess
sharedaccess
SmcService
SNDSrvc
SPBBCSvc
SweepNet
SWEEPSRV.SYS
Symantec AntiVirus Client
Symantec Core LC
Tmntsrv
V3MonNT
V3MonSvc
VexiraAntivirus
VisNetic AntiVirus Plug-in
vsmon
wscsvc
wuauserv
XCOMM
También intentará borrar archivos con los siguientes nombres,
de todas las unidades de disco en que los mismos se ejecuten:
AUPDATE.EXE
av.dll
Avconsol.exe
avgcc.exe
avgemc.exe
Avsynmgr.exe
cafix.exe
ccApp.exe
CCEVTMGR.EXE
ccl30.dll
CCSETMGR.EXE
ccvrtrst.dll
CMGrdian.exe
isafe.exe
KAV.exe
kavmm.exe
LUALL.EXE
LUINSDLL.DLL
Luupdate.exe
Mcshield.exe
mysuperprog.exe
NAVAPSVC.EXE
NPFMNTOR.EXE
outpost.exe
RuLaunch.exe
SNDSrvc.exe
SPBBCSvc.exe
symlcsvc.exe
Up2Date.exe
vetredir.dll
Vshwin32.exe
VsStat.exe
vsvault.dll
zatutor.exe
zlavscan.dll
zlclient.exe
zonealarm.exe
También intentará finalizar los siguientes procesos:
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
UPGRADER.EXE
Intentará descargar y ejecutar otros archivos desde numerosos
servidores de Internet. Al momento actual, ninguno de los
archivos estaba disponible.
Si logra descargarlo, lo copia en la carpeta de Windows, e
intentará ejecutarlo.
* Reparación manual
IMPORTANTE: Note que estas instrucciones de limpieza se dan
únicamente como una guía de referencia, ya que la
recuperación de los archivos sobrescritos, dependerá del daño
causado por el troyano desde el momento de ocurrida la
infección, hasta el momento de su detección.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\FirstRun
3. Haga clic en la carpeta "FirstRun" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\FirstRun
5. Haga clic en la carpeta "FirstRun" y bórrela.
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
7. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
9. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Alerter
11. Haga clic en la carpeta "Alerter" y cambie el valor de la
entrada "Start" por el siguiente valor:
Start = "dword:00000004"
12. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
13. Haga clic en la carpeta "SharedAccess" y cambie el valor
de la entrada "Start" por el siguiente valor:
Start = "dword:00000002"
14. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\wuauserv
15. Haga clic en la carpeta "wuauserv" y cambie el valor de
la entrada "Start" por el siguiente valor:
Start = "dword:00000002"
16. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
17. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que
modifique el archivo HOSTS para protegerlo de ciertos
parásitos, vuelva a ejecutar ese programa para actualizar el
archivo HOSTS con dicha información.
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Bobax.AG. Utiliza e-mail y la vulnerabilidad LSASS
_____________________________________________________________
http://www.vsantivirus.com/bobax-ag.htm
Nombre: Bobax.AG
Nombre NOD32: Win32/Bobax.AG
Tipo: Gusano de Internet y caballo de Troya
Alias: Bobax.AG, Dropped:Win32.Worm.Bobic.M, I-Worm.Bobic.q,
Net-Worm.Win32.Bobic.q, W32/Bobax.BQ, W32/Bobax.worm.aa,
W32/Bobic.Q-net, Win32.Bobax.AL, Win32/Bobax.42865!Worm,
Win32/Bobax.AG, Win32:Bobic-R, Worm/Bobic.Crypt
Fecha: 21/set/05
Plataforma: Windows 32-bit
Tamaño: 42,865 bytes
Este gusano se propaga como adjunto en un mensaje de correo
electrónico. Para ello utiliza su propio motor SMTP.
También utiliza la vulnerabilidad en LSASS.EXE de Windows XP
y 2000, infectando equipos con Windows XP y 2000 sin el
parche correspondiente instalado.
El gusano examina rangos de direcciones IP en busca de
máquinas vulnerables. Si las encuentra, explota un
desbordamiento de búfer en el componente LSASS.EXE para crear
en el equipo remoto un shell (consola de comandos), que
utilizará para descargarse y luego ejecutarse en él. En
ocasiones esto ocasiona un fallo en LSASS.EXE que reiniciará
al equipo.
Cuando se ejecuta, crea el siguiente archivo:
c:\windows\system32\[nombre al azar].exe
También crea las siguientes entradas en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = "c:\windows\system32\[nombre al
azar].exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
[nombre al azar] = "c:\windows\system32\[nombre al
azar].exe"
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000).
También modifica el archivo HOSTS para que múltiples sitios
relacionados con antivirus y otras aplicaciones de seguridad,
no puedan ser accedidos desde una máquina infectada.
Intenta deshabilitar aplicaciones antivirus y los mensajes
del "Centro de seguridad" de Windows XP SP2, configurando las
siguientes entradas del registro:
HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusOverride = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
FirewallOverride = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify = "dword:00000001"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\DomainProfile
EnableFirewall = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\DomainProfile
DoNotAllowExceptions = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
DoNotAllowExceptions = "dword:00000000
Además, intentará descargar de Internet algunos archivos no
maliciosos.
Cuando el gusano se ejecuta, no es visible en la lista de
procesos.
* Reparación manual
* IMPORTANTE:
Descargue y ejecute este parche antes de proceder al resto de
la limpieza, desde el siguiente enlace:
MS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htm
* Cortafuegos
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Security Center
7. Haga clic en la carpeta "Security Center" y en el panel de
la derecha, bajo la columna "Datos", busque y cambie los
valores para las siguientes entradas del registro, de modo
que todas valgan "0":
AntiVirusDisableNotify = 0
AntiVirusOverride = 0
FirewallDisableNotify = 0
FirewallOverride = 0
UpdatesDisableNotify = 0
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
\Parameters
\FirewallPolicy
\DomainProfile
9. Haga clic en la carpeta "DomainProfile" y en el panel de
la derecha, borre las siguientes entradas:
EnableFirewall
DoNotAllowExceptions
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
\Parameters
\FirewallPolicy
\StandardProfile
11. Haga clic en la carpeta "StandardProfile" y en el panel
de la derecha, bajo la columna "Datos", busque y cambie los
valores para las siguientes entradas del registro, de modo
que queden con los siguientes:
EnableFirewall = 1
DoNotAllowExceptions = 0
12. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
6 - Bobax.AF. Utiliza e-mail y la vulnerabilidad LSASS
_____________________________________________________________
http://www.vsantivirus.com/bobax-af.htm
Nombre: Bobax.AF
Nombre NOD32: Win32/Bobax.AF
Tipo: Gusano de Internet y caballo de Troya
Alias: Bobax.AF, Exploit-DcomRpc.gen, Win32/Bobax.AF
Fecha: 15/set/05
Plataforma: Windows 32-bit
Este gusano se propaga como adjunto en un mensaje de correo
electrónico. Para ello utiliza su propio motor SMTP.
También utiliza la vulnerabilidad en LSASS.EXE de Windows XP
y 2000, infectando equipos con Windows XP y 2000 sin el
parche correspondiente instalado.
El gusano examina rangos de direcciones IP en busca de
máquinas vulnerables. Si las encuentra, explota un
desbordamiento de búfer en el componente LSASS.EXE para crear
en el equipo remoto un shell (consola de comandos), que
utilizará para descargarse y luego ejecutarse en él. En
ocasiones esto ocasiona un fallo en LSASS.EXE que reiniciará
al equipo.
Cuando se ejecuta, crea el siguiente archivo:
c:\windows\system32\[nombre al azar].exe
También crea las siguientes entradas en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = "c:\windows\system32\[nombre al
azar].exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
[nombre al azar] = "c:\windows\system32\[nombre al
azar].exe"
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000).
También modifica el archivo HOSTS para que múltiples sitios
relacionados con antivirus y otras aplicaciones de seguridad,
no puedan ser accedidos desde una máquina infectada.
Intenta deshabilitar aplicaciones antivirus y los mensajes
del "Centro de seguridad" de Windows XP SP2, configurando las
siguientes entradas del registro:
HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusOverride = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
FirewallOverride = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify = "dword:00000001"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\DomainProfile
EnableFirewall = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\DomainProfile
DoNotAllowExceptions = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
DoNotAllowExceptions = "dword:00000000
Además, intentará descargar de Internet algunos archivos no
maliciosos.
Cuando el gusano se ejecuta, no es visible en la lista de
procesos.
* Reparación manual
* IMPORTANTE:
Descargue y ejecute este parche antes de proceder al resto de
la limpieza, desde el siguiente enlace:
MS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htm
* Cortafuegos
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Security Center
7. Haga clic en la carpeta "Security Center" y en el panel de
la derecha, bajo la columna "Datos", busque y cambie los
valores para las siguientes entradas del registro, de modo
que todas valgan "0":
AntiVirusDisableNotify = 0
AntiVirusOverride = 0
FirewallDisableNotify = 0
FirewallOverride = 0
UpdatesDisableNotify = 0
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
\Parameters
\FirewallPolicy
\DomainProfile
9. Haga clic en la carpeta "DomainProfile" y en el panel de
la derecha, borre las siguientes entradas:
EnableFirewall
DoNotAllowExceptions
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
\Parameters
\FirewallPolicy
\StandardProfile
11. Haga clic en la carpeta "StandardProfile" y en el panel
de la derecha, bajo la columna "Datos", busque y cambie los
valores para las siguientes entradas del registro, de modo
que queden con los siguientes:
EnableFirewall = 1
DoNotAllowExceptions = 0
12. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
7 - Bobax.AE. Utiliza e-mail y la vulnerabilidad LSASS
_____________________________________________________________
http://www.vsantivirus.com/bobax-ae.htm
Nombre: Bobax.AE
Nombre NOD32: Win32/Bobax.AE
Tipo: Gusano de Internet y caballo de Troya
Alias: Bobax.AE, Exploit-DcomRpc.gen, Net-Worm.Win32.Bobic.n,
W32.Bobax.N, W32.Proxed, W32/Bobax.BM.worm,
Win32.Worm.Bobax.AE, Win32/Bobax.AE
Fecha: 7/set/05
Plataforma: Windows 32-bit
Este gusano se propaga como adjunto en un mensaje de correo
electrónico. Para ello utiliza su propio motor SMTP.
También utiliza la vulnerabilidad en LSASS.EXE de Windows XP
y 2000, infectando equipos con Windows XP y 2000 sin el
parche correspondiente instalado.
El gusano examina rangos de direcciones IP en busca de
máquinas vulnerables. Si las encuentra, explota un
desbordamiento de búfer en el componente LSASS.EXE para crear
en el equipo remoto un shell (consola de comandos), que
utilizará para descargarse y luego ejecutarse en él. En
ocasiones esto ocasiona un fallo en LSASS.EXE que reiniciará
al equipo.
Cuando se ejecuta, crea el siguiente archivo:
c:\windows\system32\[nombre al azar].exe
También crea las siguientes entradas en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = "c:\windows\system32\[nombre al
azar].exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
[nombre al azar] = "c:\windows\system32\[nombre al
azar].exe"
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000).
También modifica el archivo HOSTS para que múltiples sitios
relacionados con antivirus y otras aplicaciones de seguridad,
no puedan ser accedidos desde una máquina infectada.
Intenta deshabilitar aplicaciones antivirus y los mensajes
del "Centro de seguridad" de Windows XP SP2, configurando las
siguientes entradas del registro:
HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusOverride = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
FirewallOverride = "dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify = "dword:00000001"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\DomainProfile
EnableFirewall = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\DomainProfile
DoNotAllowExceptions = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "dword:00000000"
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
DoNotAllowExceptions = "dword:00000000
Además, intentará descargar de Internet algunos archivos no
maliciosos.
Cuando el gusano se ejecuta, no es visible en la lista de
procesos.
* Reparación manual
* IMPORTANTE:
Descargue y ejecute este parche antes de proceder al resto de
la limpieza, desde el siguiente enlace:
MS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htm
* Cortafuegos
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Security Center
7. Haga clic en la carpeta "Security Center" y en el panel de
la derecha, bajo la columna "Datos", busque y cambie los
valores para las siguientes entradas del registro, de modo
que todas valgan "0":
AntiVirusDisableNotify = 0
AntiVirusOverride = 0
FirewallDisableNotify = 0
FirewallOverride = 0
UpdatesDisableNotify = 0
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
\Parameters
\FirewallPolicy
\DomainProfile
9. Haga clic en la carpeta "DomainProfile" y en el panel de
la derecha, borre las siguientes entradas:
EnableFirewall
DoNotAllowExceptions
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
\Parameters
\FirewallPolicy
\StandardProfile
11. Haga clic en la carpeta "StandardProfile" y en el panel
de la derecha, bajo la columna "Datos", busque y cambie los
valores para las siguientes entradas del registro, de modo
que queden con los siguientes:
EnableFirewall = 1
DoNotAllowExceptions = 0
12. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
13. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Haga clic en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
8 - Mytob.KI. Instala BOT y troyano, quita protecciones
_____________________________________________________________
http://www.vsantivirus.com/mytob-ki.htm
Nombre: Mytob.KI
Nombre NOD32: Win32/Mytob.KI
Tipo: Gusano de Internet
Alias: Mytob.KI, Win32/Mytob.KI, W32/Mytob.KI
Fecha: 21/set/05
Plataforma: Windows 32-bit
Tamaño: variable
Gusano que se propaga masivamente por correo electrónico,
enviándose como adjunto a todas las direcciones de email
encontradas en diferentes archivos de la máquina infectada.
Utiliza las funcionalidades de un troyano del tipo BOT para
controlar el PC infectado vía IRC (un BOT es un programa
robot que actúa como un usuario y está preparado para
responder o actuar automáticamente ejecutando ciertos
comandos).
El componente BOT que el gusano ejecuta, intenta conectarse a
un canal de IRC en un servidor determinado, y queda a la
espera de comandos de un usuario remoto.
Un atacante podrá realizar las siguientes acciones (entre
otras posibles) en el equipo infectado:
- Actualizarse a si mismo
- Borrar archivos
- Descargar archivos
- Ejecutar archivos
- Ejecutar otros comandos de IRC
- Obtener información del equipo infectado
- Reiniciar la computadora
También modifica el archivo HOSTS para evitar que el usuario
pueda acceder a determinadas páginas y sitios de
actualizaciones de determinados antivirus, y es capaz de
finalizar determinadas tareas relacionadas con varias
aplicaciones de seguridad.
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Ole
3. Haga clic en la carpeta "Ole" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\System
\CurrentControlSet
\Control
\Lsa
7. Haga clic en la carpeta "Lsa" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Ole
9. Haga clic en la carpeta "Ole" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".
10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
11. Haga clic en la carpeta "Run" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
12. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
12. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
13. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
14. Haga clic en la carpeta "Winlogon" y en el panel de la
derecha busque la entrada "Shell", y deje en "Datos" solo
"Explorer.exe".
Shell = Explorer.exe
15. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\Lsa
16. Haga clic en la carpeta "Lsa" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".
17. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
18. Haga clic en la carpeta "SharedAccess" y en el panel de
la derecha, bajo la columna "Nombre", busque y cambie el
valor de la siguiente entrada por "2" en hexadecimal:
Start = "2"
19. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
20. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Restaurar archivo HOSTS
1. Utilizando el Explorador de Windows, busque el archivo
HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS).
Seleccione "Seleccionar el programa de una lista", "Aceptar",
y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE
"Utilizar siempre el programa seleccionado para abrir este
tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo
las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
5. Si utiliza algún programa anti-spyware o anti-adware que
modifique el archivo HOSTS para protegerlo de ciertos
parásitos, vuelva a ejecutar ese programa para actualizar el
archivo HOSTS con dicha información.
6. Reinicie su computadora.
* Información adicional
* Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
9 - Exploit.Mht.BE a BG. Exploit que ejecuta archivos CHM
_____________________________________________________________
http://www.vsantivirus.com/exploit-mht-be-bg.htm
Nombres: Exploit.Mht.BE, Exploit.Mht.BF, Exploit.Mht.BG
Nombres NOD32: HTML/Exploit.Mht.BE, HTML/Exploit.Mht.BF,
HTML/Exploit.Mht.BG
Tipo: Caballo de Troya (Exploit)
Alias: Exploit.Mht, Bloodhound.Exploit,
Exploit.Html.Codebase.Exec.Gen, Exploit.HTML.Mht,
Exploit.HTML.MHTRedir, Exploit.Mht.BE, Exploit.Mht.BF,
Exploit.Mht.BG, Exploit/Mhtredir.gen, Exploit-MhtRedir.gen,
HTML.MHTMLRedir!exploit, HTML/Exploit.Mht.BD,
HTML/Exploit.Mht.BE, HTML/Exploit.Mht.BF, HTML/Exploit.Mht.BG
Fecha: 21/set/05
Plataforma: Windows 32-bit
Tamaño: variable
Esta detección cubre código diseñado para explotar una
conocida vulnerabilidad en Internet Explorer, a través de un
script insertado en una página HTML.
El exploit puede permitir que un archivo CHM (Microsoft
Compiled Help), pueda descargar y/o ejecutar archivos
locales de forma remota, con el mismo nivel de seguridad que
el usuario actual.
Los archivos CHM son HTMLs compilados, normalmente ejecutados
por el visor de la ayuda de Windows.
Microsoft publicó en su momento un parche para esta
vulnerabilidad:
MS04-013 Parche acumulativo para Outlook Express (837009)
http://www.vsantivirus.com/vulms04-013.htm
* Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.
* Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.
4. Borre todos los archivos detectados como infectados.
* Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones de
la mayoría de los fabricantes son diarias. No existen los
"virus demasiados nuevos y sin antídotos", la reacción de las
casas de antivirus es inmediata en todos los casos. Pero
mejor pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 1903 Año 9, jueves 22 de setiembre de 2005
|
VSantivirus No. 19
Responder a este mensaje
