Mostrando mensaje 980     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1929 Año 9, martes 18 de octubre de 2005 Fecha: Martes, 18 de Octubre, 2005  04:53:19 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1929 Año 9, martes 18 de octubre de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Fanbot.H. Se propaga usando vulnerabilidad MS05-039 2 - Commwarrior.C. Utiliza bluetooth, SMS, MMS y MMC 3 - Nonyr.B. Crea enlaces a motores de búsqueda 4 - Nonyr.B.dropper. Descarga y ejecuta a Nonyr.B 5 - Mytob.LN. Instala BOT y troyano, quita protecciones 6 - Mytob.LM. Instala BOT y troyano, quita protecciones 7 - Mytob.LK. Instala BOT y troyano, quita protecciones 8 - Mytob.LJ. Instala BOT y troyano, quita protecciones _____________________________________________________________ 1 - Fanbot.H. Se propaga usando vulnerabilidad MS05-039 _____________________________________________________________ http://www.vsantivirus.com/fanbot-h.htm Nombre: Fanbot.H Nombre NOD32: Win32/Fanbot.H Tipo: Gusano de Internet y caballo de Troya Alias: Fanbot.H, BackDoor.Plunix, Backdoor.Win32.Delf.MS, Email-Worm.Win32.Fanbot.h, I-Worm.Fanbot.h, I-Worm/Mytob.ABC, W32.Fanbot.A@mm, W32/Fanbot.A.worm, W32/Fanbot-H, W32/Malware, W32/Mytob.gen@MM, W32/MyTob.MT-net, Win32.Fanbot.C, Win32.IRC.Bot.based, Win32.Worm.Phantom.A, Win32/Fanbot.H, Worm.Fanbot.H, Worm.Mytob.IS, Worm/Mytob.KU, WORM_FANBOT.A Fecha: 17/oct/05 Plataforma: Windows 32-bit Tamaño: 44,032 bytes (NSPACK) Puertos: TCP 445, 5652 Gusano que se propaga utilizando la vulnerabilidad descripta en el boletín MS05-039 de Microsoft: MS05-039 Vulnerabilidad en Plug and Play (899588) http://www.vsantivirus.com/vulms05-039.htm Esta vulnerabilidad solo puede ser explotada en equipos con Windows 2000 sin el parche MS05-039 instalado. Cuando el gusano se ejecuta, muestra una ventana de error falsa, con el siguiente texto: Error The file could not be opened! [ OK ] Mientras ello ocurre, crea y ejecuta el siguiente archivo: c:\windows\system32\remote.exe El gusano agrega las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WinShell = "c:\windows\system32\remote.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices WinShell = "c:\windows\system32\remote.exe" El gusano comprueba continuamente la existencia de estas claves y las vuelve a crear si son borradas con el virus todavía en memoria. NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). También modifica las siguientes entradas para deshabilitar el servicio de "Conexión de seguridad a Internet" (ICF): HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start = "4" HKLM\SYSTEM\CurrentControlSet\Services\wuauserv Start = "4" Crea el siguiente servicio: Nombre de servicio: netlog Nombre para mostrar: Remote Procedure Call (RPC) Remote Ruta de acceso al ejecutable: [camino]\remote.exe Tipo: Automático Para ello, modifica o crea las siguientes entradas en el registro de Windows: HKLM\SYSTEM\CurrentControlSet\Services\RpcRemotes ImagePath = "c:\windows\system32\remote.exe" DisplayName = "Remote Procedure Call (RPC) Remote" Type = "110" Start = "2" ErrorControl = "1" ObjectName = "LocalSystem" HKLM\SYSTEM\CurrentControlSet\Services\RpcRemotes\Security También crea la siguiente entrada: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup Ph4nt0m = "Ph4nt0m" Intenta enviarse por correo electrónico, utilizando su propio motor SMTP, en mensajes con las siguientes características: De: [uno de los siguientes, con el dominio del destinatario] noreply@ webmaster@ register@ info@ admin@ service@ mail@ administrator@ support@ Asunto: [uno de los siguientes] - Share Skype. - What is Skype? - Skype for Windows 1.4 - Have you got the new Skype? - Hello. We're Skype and we've got something we would like to share with you. - Your Account is Suspended. - *DETECTED* Online User Violation. - Your Account is Suspended For Security Reasons. - Warning Message: Your services near to be closed. - Important Notification! - Members Support. - Security measures. - Email Account Suspension. - Notice of account limitation. - SHARE SKYPE. - WHAT IS SKYPE? - SKYPE FOR WINDOWS 1.4 - HAVE YOU GOT THE NEW SKYPE? - HELLO. WE'RE SKYPE AND WE'VE GOT SOMETHING WE WOULD LIKE TO SHARE WITH YOU. - YOUR ACCOUNT IS SUSPENDED. - *DETECTED* ONLINE USER VIOLATION. - YOUR ACCOUNT IS SUSPENDED FOR SECURITY REASONS. - WARNING MESSAGE: YOUR SERVICES NEAR TO BE CLOSED. - IMPORTANT NOTIFICATION! - MEMBERS SUPPORT. - SECURITY MEASURES. - EMAIL ACCOUNT SUSPENSION. - NOTICE OF ACCOUNT LIMITATION. Texto del mensaje: [uno de los siguientes] Dear user [destinatario], You have successfully updated the password of your [cuenta del usuario] account. If you did not authorize this change or if you need assistance with your account, please contact [al azar] customer service at: [al azar] Thank you for using [nombre]! The [nombre] Support Team Attachment: No Virus (Clean) [dominio] Antivirus - www.[antivirus].com Dear [destinatario] Member, We have temporarily suspended your email account [cuenta del usuario]. This might be due to either of the following reasons: 1. A recent change in your personal information (i.e. change of address). 2. Submiting invalid information during the initial sign up process. 3. An innability to accurately verify your selected option of subscription due to an internal error within our processors. See the details to reactivate your [cuenta del usuario] account. Sincerely, The [nombre] Support Team Attachment: No Virus (Clean) [dominio] Antivirus www.[antivirus].com Dear [destinatario] Member, Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service. If you choose to ignore our request, you leave us no choice but to cancel your membership. Virtually yours, The [nombre] Support Team Attachment: No Virus found Dear user [destinatario], It has come to our attention that your [cuenta del usuario] User Profile ( x ) records are out of date. For further details see the attached document. Thank you for using [al azar]! The [nombre] Support Team +++ Attachment: No Virus (Clean) +++ [dominio] Antivirus - www.[antivirus].com +++ [al azar] Antivirus - www.[al azar] +++ Attachment: No Virus (Clean) The [al azar] Support Team Thank you for using [al azar]! If you did not authorize this change or if you need assistance with your account, please contact [al azar] customer service at: [al azar] You have successfully updated the password of your [al azar] account. Datos adjuntos: [uno de los siguientes] readme.zip Share Skype.zip Skype for Windows 1.4.zip Skype.zip Skype-details.zip Skype-document.zip Skype-info.zip Skype-stuffs.zip El archivo .ZIP contiene el gusano con alguno de los nombres mostrados antes, más una doble extensión, separada por espacios, donde la primera extensión puede ser una de las siguientes: .doc .htm .tmp .txt Y la segunda, una de las siguientes: .bat .cmd .exe .pif .scr Ejemplo: Skype for Windows 1.4.doc .exe El gusano no se enviará a aquellas direcciones que contengan las siguientes cadenas en sus nombres: .gov .mil abuse accoun acketst admin antivi anyone arin. avp berkeley borlan bsd bsd bugs ca certific contact duba example fbi feste fido foo. f-pro freeav f-secur fsf. gnu gold-certs google google gov. help hotmail iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e jiangmin kaspersky kernel linux linux listserv master math mcafee me messagelabs mit.e mozilla msn. mydomai no nobody nodomai noone norman norton not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. rising root ruslis samples sdbot secur secur sendmail service site slashdot soft somebody someone sopho sourceforge spam spm submit support syma symantec tanford.e the.bat unix unix usenet utgers.ed viruslis webmaster www you your Intenta propagarse por redes P2P, copiándose en carpetas cuyos nombres contengan cualquiera de las siguientes cadenas: [ciertos caracteres chinos] bak bear donkey download ftp htdocs http icq incoming kazaa lime morpheus mule share sharing soft upload www Se copia con los siguientes nombres, dentro de las carpetas encontradas: 1001 Sex and more.rtf.exe 3D Studio Max 6 3dsmax.exe ACDSee 10.exe AcrobatReader_New.exe activation_crack.exe Adobe Photoshop 10 crack.exe Adobe Photoshop 10 full.exe Adobe Premiere 10.exe Ahead Nero 8.exe Altkins Diet.doc.exe American Idol.doc.exe angels.pif Arnold Schwarzenegger.jpg.exe Best Matrix Screensaver new.scr Bifrost.scr BlackIce_Firewall_Enterpriseactivation_Crack.exe Britney sex xxx.jpg.exe Britney Spears and Eminem porn.jpg.exe Britney Spears blowjob.jpg.exe Britney Spears cumshot.jpg.exe Britney Spears fuck.jpg.exe Britney Spears full album.mp3.exe Britney Spears porn.jpg.exe Britney Spears Sexy archive.doc.exe Britney Spears Song text archive.doc.exe Britney Spears.jpg.exe Britney Spears.mp3.exe Butterfly.scr Clone DVD 6.exe Cloning.doc.exe cool screensaver.scr Cracks & Warez Archiv.exe Dark Angels new.pif dcom_patches.exe Dictionary English 2004 - France.doc.exe dictionary.doc.exe DivX 8.0 final.exe dolly_buster.jpg.pif Doom 3 release 2.exe doom2.doc.pif e.book.doc.exe E-Book Archive2.rtf.exe e-book.archive.doc.exe eminem - lick my pussy.mp3.pif Eminem blowjob.jpg.exe Eminem full album.mp3.exe Eminem Poster.jpg.exe Eminem sex xxx.jpg.exe Eminem Sexy archive.doc.exe Eminem Song text archive.doc.exe Eminem Spears porn.jpg.exe Eminem.mp3.exe firefox-1.6a1.en-US.win32.installer.exe Full album all.mp3.pif Gimp 1.8 Full with Key.exe Harry Potter 1-6 book.txt.exe Harry Potter 5.mpg.exe Harry Potter all e.book.doc.exe Harry Potter e book.doc.exe Harry Potter game.exe Harry Potter.doc.exe How to hack new.doc.exe how to hack.doc.exe icq2005-final.exe Internet Explorer 9 setup.exe 'K.jpg.pif Kazaa Lite 4.0 new.exe Kazaa new.exe Keygen 4 all new.exe Kula.jpg.pif Kula.scr Learn Programming 2004.doc.exe Lightwave 9 Update.exe Magix Video Deluxe 5 beta.exe Matrix.mpg.exe matrix.scr max payne 2.crack.exe Maxthon_New.exe Microsoft Office 2003 Crack best.exe Microsoft WinXP Crack full.exe MS Service Pack 6.exe MSN7-final.exe netsky source code.scr Norton Antivirus 2005 beta.exe nuke2004.exe Office_Crack.exe Opera 11.exe Partitionsmagic 10 beta.exe Porno Screensaver britney.scr porno.scr programming basics.doc.exe Rain.scr RealPlayer_New.exe RFC compilation.doc.exe rfc compilation.doc.exe Ringtones.doc.exe Ringtones.mp3.exe Saddam Hussein.jpg.exe Screensaver2.scr Serial.txt.exe Serials 2005_New.exe Serials edition.txt.exe Smashing the stack full.rtf.exe Star Office 9.exe Strip-Girl-2.0b.exe strippoker.exe Super Dollfie.pif Teen Porn 15.jpg.pif The Sims 4 beta.exe TouchNet Browser 1.29b.exe Ulead Keygen 2004.exe UltraEdit-32 12.01 + Cracker.exe virii.scr Visual Studio Net Crack all.exe Win Longhorn re.exe Win Longhorn.doc.exe WinAmp 13 full.exe Winamp5.exe Windows 2000 Sourcecode.doc.exe Windows 2003 crack.exe Windows XP crack.exe WinXP eBook newest.doc.exe Winxp_Crack.exe XXX hardcore pics.jpg.exe Se conecta a uno de los siguientes servidores de IRC a través del puerto TCP 5262: jojogirl.3322.org SmallPhantom.meibu.com Esta conexión permite que un usuario remoto pueda acceder al sistema infectado y realizar acciones como las siguientes: - Acceso vía FTP al equipo infectado - Actualizar el gusano via FTP - Atacar determinados hosts (flood atack) - Borrar archivos - Descargar y ejecutar archivos vía HTTP - Enviar información del sistema infectado - Finalizar la ejecución del gusano - Finalizar procesos - Notificar su presencia a un canal de IRC determinado - Reiniciar la computadora - Remover componentes - Solicitar fecha de infección - Solicitar versión del gusano - Visitar determinadas direcciones También abre un servidor FTP por el que otros equipos descargarán una copia del gusano, utilizando la vulnerabilidad en el servicio Plug and Play de Windows, descripta en el boletín de seguridad MS05-039. El gusano agrega las siguientes entradas al archivo HOSTS de Windows, impidiendo el acceso a muchos sitios de antivirus y otras firmas de seguridad: Play with the best, Die like the rest. [Phantom] 2005 made by Evil[xiaou]. Special Thanks:x140d4n. If u have Zotob's SourceCode, please u mail it to me!!! E-mail:x140yu@Gmail.Com thanks!!! 0 .0 .0 .0 jiangmin .com 0 .0 .0 .0 www .jiangmin .com 0 .0 .0 .0 Update2 .JiangMin .com 0 .0 .0 .0 Update3 .JiangMin .com 0 .0 .0 .0 rising .com .cn 0 .0 .0 .0 www .rising .com .cn 0 .0 .0 .0 online .rising .com .cn 0 .0 .0 .0 iduba .net 0 .0 .0 .0 www .iduba .net 0 .0 .0 .0 kingsoft .com 0 .0 .0 .0 db .kingsoft .com 0 .0 .0 .0 scan .kingsoft .com 0 .0 .0 .0 kaspersky .com .cn 0 .0 .0 .0 www .kaspersky .com .cn 0 .0 .0 .0 symantec .com .cn 0 .0 .0 .0 www .symantec .com .cn 0 .0 .0 .0 www .symantec .com 0 .0 .0 .0 securityresponse .symantec .com 0 .0 .0 .0 symantec .com 0 .0 .0 .0 www .sophos .com 0 .0 .0 .0 sophos .com 0 .0 .0 .0 www .mcafee .com 0 .0 .0 .0 mcafee .com 0 .0 .0 .0 liveupdate .symantecliveupdate .com 0 .0 .0 .0 www .viruslist .com 0 .0 .0 .0 viruslist .com 0 .0 .0 .0 viruslist .com 0 .0 .0 .0 f-secure .com 0 .0 .0 .0 www .f-secure .com 0 .0 .0 .0 kaspersky .com 0 .0 .0 .0 kaspersky-labs .com 0 .0 .0 .0 www .avp .com 0 .0 .0 .0 www .kaspersky .com 0 .0 .0 .0 avp .com 0 .0 .0 .0 www .networkassociates .com 0 .0 .0 .0 networkassociates .com 0 .0 .0 .0 www .ca .com 0 .0 .0 .0 ca .com 0 .0 .0 .0 mast .mcafee .com 0 .0 .0 .0 my-etrust .com 0 .0 .0 .0 www .my-etrust .com 0 .0 .0 .0 download .mcafee .com 0 .0 .0 .0 dispatch .mcafee .com 0 .0 .0 .0 secure .nai .com 0 .0 .0 .0 nai .com 0 .0 .0 .0 www .nai .com 0 .0 .0 .0 update .symantec .com 0 .0 .0 .0 updates .symantec .com 0 .0 .0 .0 us .mcafee .com 0 .0 .0 .0 liveupdate .symantec .com 0 .0 .0 .0 customer .symantec .com 0 .0 .0 .0 rads .mcafee .com 0 .0 .0 .0 trendmicro .com 0 .0 .0 .0 www .pandaguard .com 0 .0 .0 .0 pandasoftware .com 0 .0 .0 .0 www .pandasoftware .com 0 .0 .0 .0 www .trendmicro .com 0 .0 .0 .0 www .grisoft .com 0 .0 .0 .0 www .microsoft .com 0 .0 .0 .0 microsoft .com 0 .0 .0 .0 www .virustotal .com 0 .0 .0 .0 virustotal .com Intenta finalizar los procesos activos, cuyos nombres contengan algunas de las siguientes cadenas de texto: a2hijackfree.exe adam.exe agtx0404.exe agtx0411.exe agtx0804.exe alertast.exe alescan.exe aleupdat.exe alunotify.exe antivirus_update.exe aports.exe aupdate.exe backrav.exe blackd.exe blackice.exe botzor.exe bronstab.exe ccemflsv.exe ccenter.exe cfgwiz.exe cleanup.exe cmdagent.exe coolbot.exe csm.exe csscan.exe cvt.exe defwatch.exe dwhwizrd.exe eghost.exe eksplorasi.pif fint2005.exe frameworkservice.exe frminst.exe hellmsn.scr hijackthis.exe hnetwiz.exe hpmanager.exe iamstats.exe icesword.exe idtemplate.exe inbuild.exe iparmor.exe issvc.exe java.exe katmain.exe kav.exe kav32.exe kavdx.exe kavlog2.exe kavpfw.exe kavpfw.exe kavsend.exe kavstart.exe kavstart.exe kavsvc.exe killbox.exe kmailmon.exe knlps.exe knlsc13.exe kpfwsvc.exe krecycle.exe kregex.exe kshrmgr.exe kvcenter.kxp kvdetech.exe kvdetect.exe kvdisk.kxp kvdos.exe kvmonxp.kxp kvol.exe kvolself.exe kvreport.kxp kvscan.kxp kvsrvxp.exe kvstory.kxp kvstub.kxp kvupload.exe kvwsc.exe kvxp.kxp kwatch.exe kwatch9x.exe langset.exe ldvpreg.exe logparser.exe lrsend.exe lsetup.exe luall.exe luawrap.exe lucomserver.exe luinit.exe makeboot.exe mcaffeav.exe mcconsol.exe mcscript.exe mcscript_inuse.exe mcupdate.exe mdac.exe mousebm.exe mousemm.exe mousesync.exe msagent.exe msnmsgs.exe mstask.exe naprdmgr.exe navustub.exe ndetect.exe nvchip4.exe patch.exe pccbrows.exe pccguide.exe pcclient.exe pcclog.exe pccmain.exe pccmdcom.exe pccspyui.exe pcctlcom.exe pcctool.exe pccvscan.exe per.exe pfw.exe phantom.exe picx.exe pireg.exe pm.exe processexplorer.exe rav.exe ravdos.exe ravhdbak.exe ravmon.exe ravmond.exe ravpatch.exe ravstore.exe ravstub.exe ravtimer.exe ravxp.exe realsched.exe regclean.exe regguide.exe regsvr32.exe rescue.exe rfw.exe rfwmain.exe rfwsrv.exe rkdetector.exe rootkitrevealer.exe rsagent.exe rsconfig.exe rssms.exe rtvscan.exe rundll32.exe savroam.exe scan32.exe scanbd.exe scncfg32.exe scrigz.exe servce.exe setupwiz.exe shcfg32.exe shstat.exe smartdrv.exe smartup.exe smss.exe soundman.exe symantecrootinstaller.exe symclnup.exe system.exe taskgmr.exe tmntsrv.exe tmoagent.exe tmpfw.exe tmproxy.exe tra.exe trialmsg.exe trojandetector.exe trojanwall.exe trojdie.kxp tsc.exe uninstall.kxp update.exe updaterui.exe upgrade.exe virusbox.kxp vpc32.exe vpdn_lu.exe vptray.exe vstskmgr.exe winhost.exe winldr.exe wintbp.exe wpa.exe writecan.exe zonealarm.exe También crea el siguiente mutex para no ejecutarse más de una vez en memoria: ___--->>>[E-v-i-l_S-e-c-u-r-i-t-y_T-e-a-m]<<<---___ * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. IMPORTANTE: Instalar el siguiente parche si aún no lo ha hecho: MS05-039 Vulnerabilidad en Plug and Play (899588) http://www.vsantivirus.com/vulms05-039.htm * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services \RpcRemotes 3. Haga clic en la carpeta "RpcRemotes" y bórrela 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Setup 5. Haga clic en la carpeta "Setup" y borre la siguiente entrada: Ph4nt0m = "Ph4nt0m" 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \wuauserv 7. Haga clic en la carpeta "wuauserv" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de la siguiente entrada por "2" en hexadecimal: Start = "2" 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \SharedAccess 9. Haga clic en la carpeta "SharedAccess" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de la siguiente entrada por "2" en hexadecimal: Start = "2" 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 11. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 13. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 14. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. 6. Reinicie su computadora. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Commwarrior.C. Utiliza bluetooth, SMS, MMS y MMC _____________________________________________________________ http://www.vsantivirus.com/commwarrior-c.htm Nombre: Commwarrior.C Nombre NOD32: SymbOS/CommWarrior.C Tipo: Gusano de dispositivo PDA Alias: Comwarrior, Commwarrior.C, CWOUTCAST, SymbOS/Commwarrior.C, Symb/Comwar-C Fecha: 17/oct/05 Plataforma: SymbOS (EPOC), Nokia Series 60 Tamaño: variable Este gusano puede infectar celulares que ejecuten el sistema operativo Symbian OS (Nokia, etc.). Puede ser descargado de diferentes sitios de Internet, dentro de un archivo ZIP conteniendo el instalador con extensión .SIS (la extensión .SIS es utilizada por Symbian para las instalaciones de programas y aplicaciones). Uno de los nombres con que este gusano se presenta es el siguiente (simula ser una versión pirata de la utilidad Symbian Commander): SymCommander_1_06.sis Puede propagarse por bluetooth, utilizando nombres de archivos al azar (bluetooth es la norma que posibilita la conexión inalámbrica de corto alcance entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles y otros dispositivos). Intenta enviarse además, mediante mensajes de texto cortos (SMS), y mensajes multimedia (MMS, Multimedia Messaging Service). Este último permite el envío de texto, imagen y/o video a los teléfonos de otros usuarios. Esta versión también intenta propagarse a través de tarjetas de memoria MultiMediaCard (MMC memory card). En algunos modelos de teléfonos, el gusano cambia el logo de la operadora telefónica, por uno propio con el siguiente texto: Infected by Commwarrior El gusano puede abrir una página Web con el navegador del celular, conteniendo el siguiente mensaje: CommWarrior mobile virus Made in Russia CommWarrior virus provide automatic real-time protection against harmful Anti-Virus content. If you have no problems, install CommWarrior and life will be more interesting! Para propagarse por bluetooth, utiliza un archivo con extensión .SIS y nombre al azar. Este archivo contiene el ejecutable del propio gusano con el siguiente nombre: cwoutcast.exe El archivo SIS es autoejecutable (ejecuta cwoutcast.exe). Cuando se acepta la instalación, el gusano se copia en la siguiente ubicación: c:\system\programs\cwoutcast.exe Y se crean los siguientes archivos: c:\system\apps\symcommander\cwoutcast.exe c:\system\apps\symcommander\symcommander.rsc c:\system\apps\symcommander\symcommander.aif c:\system\apps\symcommander\symcommander.app También crea las siguientes copias en C: y en todas las tarjetas MMC detectadas: \system\bootdata\lib\cwoutcast.exe \system\recogs\cworec.mdl Para propagarse por MMS, primero envía mensajes a todos los teléfonos móviles de la agenda. El gusano busca constantemente nuevos teléfonos para infectar. También intenta responder automáticamente a cualquier MMS o SMS recibido, enviando el archivo SIS infectado. Finalmente, si el usuario envía algún mensaje MMS, inmediatamente después el gusano intentará enviarse a si mismo al mismo número. El gusano detecta cualquier tarjeta MMC insertada en el móvil, y se copia en dichas tarjetas. Cuando estas tarjetas son insertadas en otros celulares, se produce la infección de los mismos. Mientras esté ejecutándose, el gusano intentará ocultarse, no apareciendo en la lista de aplicaciones. También utiliza otras técnicas para autoprotegerse, de tal modo que su eliminación manual puede ser dificultosa. Su código contiene el siguiente mensaje: CommWarrior Outcast: The dark side of Symbian Force. CommWarrior v2.0-PRO. Copyright (c) 2005 by e10d0r CommWarrior is freeware product. You may freely distribute it in it's original unmodified form. With best regards from Russia. OTMOP03KAM HET! * Eliminación manual La forma de eliminar el gusano del sistema infectado, puede variar en cada modelo, siendo necesaria la mayoría de las veces, la intervención del servicio de mantenimiento del proveedor del teléfono móvil. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Nonyr.B. Crea enlaces a motores de búsqueda _____________________________________________________________ http://www.vsantivirus.com/nonyr-b.htm Nombre: Nonyr.B Nombre NOD32: Win32/Nonyr.B Tipo: Caballo de Troya Alias: Nonyr.B, Adware/NSearch, Spooner.A, TR/SPY.SPot, Troj/Spooner-B, Trojan.NSearch, Trojan.NSearch.A, Trojan.Spooner.F, Trojan.Win32.Spooner.f, Trojan.Win32.Spooner.F, Trojan/SPY.SPot, W32/Spooner.B-tr, W32/Spooner.C, W32/Startpage.CD, Win32.Trojan.Spooner.f, Win32/Nonyr.B, Win32:Trojan-gen. Fecha: 10/jun/04 Plataforma: Windows 32-bit Tamaño: 89,088 bytes (ASPACK) Caballo de Troya que crea enlaces a motores de búsqueda, cuando ciertas palabras o frases aparecen en una página HTML al ser desplegada en el Internet Explorer. La intención es mostrar páginas con publicidad. El troyano crea en el registro, una entrada para autoactualizarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run sp = [nombre y camino del ejecutable del troyano] Salvo el registro, no modifica ningún otro archivo, ya que los enlaces son generados en memoria. Algunas de las palabras o frases que el troyano monitorea: 9Brother toner agencies Air travel Angels Anthrax Anti-virus Application development Atlanta Aviation Body building Canon copier toner Collection consulting Contacts Chocolate Christian singles delivery Delphi Digital certificates Dlt recovery Downloads Embroidery energizer Energy Facial Flower France Fundraising Hearing aids Holiday Home insurance Home theater Honeymoon Horoscope Investments Laser toner Lose weight Management Mastercard Metal stamping New york hotels Online Panties Resorts Scooters Snowboarding Sports Ticket Trademark Trademarks Traffic Valentine Valentines Video games wagering Water filters Web cam Web site positioning Webpromotion Winfax El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P. Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios. Otros malwares también podrían descargarlo y ejecutarlo en un sistema infectado. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Nonyr.B.dropper. Descarga y ejecuta a Nonyr.B _____________________________________________________________ http://www.vsantivirus.com/nonyr-b-dropper.htm Nombre: Nonyr.B.dropper Nombre NOD32: Win32/Nonyr.B.dropper Tipo: Caballo de Troya Alias: Nonyr.B, Nonyr.B.dropper, Win32/Nonyr.B.dropper Fecha: 10/jun/04 Plataforma: Windows 32-bit Caballo de Troya del tipo "TrojanDropper". Estos troyanos suelen ser utilizados para instalar otros malwares en el equipo infectado, sin el conocimiento de los usuarios. El código malicioso es liberado y luego ejecutado. En ocasiones, se liberan varios troyanos. En este caso, este troyano libera y ejecuta a Win32/Nonyr.B. Más información: Nonyr.B. Crea enlaces a motores de búsqueda http://www.vsantivirus.com/nonyr-b.htm El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P. Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios. Otros malwares también podrían descargarlo y ejecutarlo en un sistema infectado. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Mytob.LN. Instala BOT y troyano, quita protecciones _____________________________________________________________ http://www.vsantivirus.com/mytob-ln.htm Nombre: Mytob.LN Nombre NOD32: Win32/Mytob.LN Tipo: Gusano de Internet Alias: Mytob.LN, Win32/Mytob.LN, W32/Mytob.LN Fecha: 17/oct/05 Plataforma: Windows 32-bit Tamaño: variable Gusano que se propaga masivamente por correo electrónico, enviándose como adjunto a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC (un BOT es un programa robot que actúa como un usuario y está preparado para responder o actuar automáticamente ejecutando ciertos comandos). El componente BOT que el gusano ejecuta, intenta conectarse a un canal de IRC en un servidor determinado, y queda a la espera de comandos de un usuario remoto. Un atacante podrá realizar las siguientes acciones (entre otras posibles) en el equipo infectado: - Actualizarse a si mismo - Borrar archivos - Descargar archivos - Ejecutar archivos - Ejecutar otros comandos de IRC - Obtener información del equipo infectado - Reiniciar la computadora También modifica el archivo HOSTS para evitar que el usuario pueda acceder a determinadas páginas y sitios de actualizaciones de determinados antivirus, y es capaz de finalizar determinadas tareas relacionadas con varias aplicaciones de seguridad. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Ole 3. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \System \CurrentControlSet \Control \Lsa 7. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Ole 9. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 11. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 13. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 15. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, busque las entradas "Shell" y "Userinit", y modifique su contenido, para que queden como se indica aquí: Shell = "Explorer.exe" Userinit = "userinit.exe," 16. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \Lsa 17. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 18. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \SharedAccess 19. Haga clic en la carpeta "SharedAccess" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de la siguiente entrada por "2" en hexadecimal: Start = "2" 20. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Restaurar "Zonas de seguridad" al nivel predeterminado. 1. Seleccione en el Panel de control, el icono "Opciones de Internet". 2. Pinche en la lengüeta "Seguridad", y luego en "Internet". 3. Haga clic en el botón "Nivel predeterminado", y luego en el botón "Aplicar" 4. Reitere el paso "3" en "Intranet local", "Sitios de confianza" y "Sitios restringidos". 5. Haga clic en "Aceptar". NOTA: Se recomienda luego, configurar el Internet Explorer como se explica en el siguiente artículo: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. 6. Reinicie su computadora. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - Mytob.LM. Instala BOT y troyano, quita protecciones _____________________________________________________________ http://www.vsantivirus.com/mytob-lm.htm Nombre: Mytob.LM Nombre NOD32: Win32/Mytob.LM Tipo: Gusano de Internet Alias: Mytob.LM, Win32/Mytob.LM, W32/Mytob.LM Fecha: 17/oct/05 Plataforma: Windows 32-bit Tamaño: variable Gusano que se propaga masivamente por correo electrónico, enviándose como adjunto a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC (un BOT es un programa robot que actúa como un usuario y está preparado para responder o actuar automáticamente ejecutando ciertos comandos). El componente BOT que el gusano ejecuta, intenta conectarse a un canal de IRC en un servidor determinado, y queda a la espera de comandos de un usuario remoto. Un atacante podrá realizar las siguientes acciones (entre otras posibles) en el equipo infectado: - Actualizarse a si mismo - Borrar archivos - Descargar archivos - Ejecutar archivos - Ejecutar otros comandos de IRC - Obtener información del equipo infectado - Reiniciar la computadora También modifica el archivo HOSTS para evitar que el usuario pueda acceder a determinadas páginas y sitios de actualizaciones de determinados antivirus, y es capaz de finalizar determinadas tareas relacionadas con varias aplicaciones de seguridad. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Ole 3. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \System \CurrentControlSet \Control \Lsa 7. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Ole 9. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 11. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 13. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 15. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, busque las entradas "Shell" y "Userinit", y modifique su contenido, para que queden como se indica aquí: Shell = "Explorer.exe" Userinit = "userinit.exe," 16. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \Lsa 17. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 18. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \SharedAccess 19. Haga clic en la carpeta "SharedAccess" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de la siguiente entrada por "2" en hexadecimal: Start = "2" 20. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Restaurar "Zonas de seguridad" al nivel predeterminado. 1. Seleccione en el Panel de control, el icono "Opciones de Internet". 2. Pinche en la lengüeta "Seguridad", y luego en "Internet". 3. Haga clic en el botón "Nivel predeterminado", y luego en el botón "Aplicar" 4. Reitere el paso "3" en "Intranet local", "Sitios de confianza" y "Sitios restringidos". 5. Haga clic en "Aceptar". NOTA: Se recomienda luego, configurar el Internet Explorer como se explica en el siguiente artículo: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. 6. Reinicie su computadora. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 7 - Mytob.LK. Instala BOT y troyano, quita protecciones _____________________________________________________________ http://www.vsantivirus.com/mytob-lk.htm Nombre: Mytob.LK Nombre NOD32: Win32/Mytob.LK Tipo: Gusano de Internet Alias: Mytob.LK, Win32/Mytob.LK, W32/Mytob.LK Fecha: 17/oct/05 Plataforma: Windows 32-bit Tamaño: variable Gusano que se propaga masivamente por correo electrónico, enviándose como adjunto a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC (un BOT es un programa robot que actúa como un usuario y está preparado para responder o actuar automáticamente ejecutando ciertos comandos). El componente BOT que el gusano ejecuta, intenta conectarse a un canal de IRC en un servidor determinado, y queda a la espera de comandos de un usuario remoto. Un atacante podrá realizar las siguientes acciones (entre otras posibles) en el equipo infectado: - Actualizarse a si mismo - Borrar archivos - Descargar archivos - Ejecutar archivos - Ejecutar otros comandos de IRC - Obtener información del equipo infectado - Reiniciar la computadora También modifica el archivo HOSTS para evitar que el usuario pueda acceder a determinadas páginas y sitios de actualizaciones de determinados antivirus, y es capaz de finalizar determinadas tareas relacionadas con varias aplicaciones de seguridad. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Ole 3. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \System \CurrentControlSet \Control \Lsa 7. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Ole 9. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 11. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 13. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 15. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, busque las entradas "Shell" y "Userinit", y modifique su contenido, para que queden como se indica aquí: Shell = "Explorer.exe" Userinit = "userinit.exe," 16. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \Lsa 17. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 18. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \SharedAccess 19. Haga clic en la carpeta "SharedAccess" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de la siguiente entrada por "2" en hexadecimal: Start = "2" 20. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Restaurar "Zonas de seguridad" al nivel predeterminado. 1. Seleccione en el Panel de control, el icono "Opciones de Internet". 2. Pinche en la lengüeta "Seguridad", y luego en "Internet". 3. Haga clic en el botón "Nivel predeterminado", y luego en el botón "Aplicar" 4. Reitere el paso "3" en "Intranet local", "Sitios de confianza" y "Sitios restringidos". 5. Haga clic en "Aceptar". NOTA: Se recomienda luego, configurar el Internet Explorer como se explica en el siguiente artículo: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. 6. Reinicie su computadora. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 8 - Mytob.LJ. Instala BOT y troyano, quita protecciones _____________________________________________________________ http://www.vsantivirus.com/mytob-lj.htm Nombre: Mytob.LJ Nombre NOD32: Win32/Mytob.LJ Tipo: Gusano de Internet Alias: Mytob.LJ, Win32/Mytob.LJ, W32/Mytob.LJ Fecha: 17/oct/05 Plataforma: Windows 32-bit Tamaño: variable Gusano que se propaga masivamente por correo electrónico, enviándose como adjunto a todas las direcciones de email encontradas en diferentes archivos de la máquina infectada. Utiliza las funcionalidades de un troyano del tipo BOT para controlar el PC infectado vía IRC (un BOT es un programa robot que actúa como un usuario y está preparado para responder o actuar automáticamente ejecutando ciertos comandos). El componente BOT que el gusano ejecuta, intenta conectarse a un canal de IRC en un servidor determinado, y queda a la espera de comandos de un usuario remoto. Un atacante podrá realizar las siguientes acciones (entre otras posibles) en el equipo infectado: - Actualizarse a si mismo - Borrar archivos - Descargar archivos - Ejecutar archivos - Ejecutar otros comandos de IRC - Obtener información del equipo infectado - Reiniciar la computadora También modifica el archivo HOSTS para evitar que el usuario pueda acceder a determinadas páginas y sitios de actualizaciones de determinados antivirus, y es capaz de finalizar determinadas tareas relacionadas con varias aplicaciones de seguridad. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Ole 3. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \System \CurrentControlSet \Control \Lsa 7. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Ole 9. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 11. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 13. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 14. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon 15. Haga clic en la carpeta "Winlogon" y en el panel de la derecha, busque las entradas "Shell" y "Userinit", y modifique su contenido, para que queden como se indica aquí: Shell = "Explorer.exe" Userinit = "userinit.exe," 16. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \Lsa 17. Haga clic en la carpeta "Lsa" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 18. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \SharedAccess 19. Haga clic en la carpeta "SharedAccess" y en el panel de la derecha, bajo la columna "Nombre", busque y cambie el valor de la siguiente entrada por "2" en hexadecimal: Start = "2" 20. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Restaurar "Zonas de seguridad" al nivel predeterminado. 1. Seleccione en el Panel de control, el icono "Opciones de Internet". 2. Pinche en la lengüeta "Seguridad", y luego en "Internet". 3. Haga clic en el botón "Nivel predeterminado", y luego en el botón "Aplicar" 4. Reitere el paso "3" en "Intranet local", "Sitios de confianza" y "Sitios restringidos". 5. Haga clic en "Aceptar". NOTA: Se recomienda luego, configurar el Internet Explorer como se explica en el siguiente artículo: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. 6. Reinicie su computadora. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1929 Año 9, martes 18 de octubre de 2005