Mostrando mensaje 1002     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1950 Año 9, miércoles 9 de noviembre de 2005 Fecha: 9 de Noviembre, 2005  08:12:15 (+0100) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1950 Año 9, miércoles 9 de noviembre de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Boletín de seguridad de Microsoft Noviembre 2005 2 - MS05-053 Ejecución de código imágenes WMF/EMF (896424) 3 - Lupper.A. Infecta servidores bajo Linux, usa PHP, etc. 4 - Bagle.DP. Crea proxy, envía spam, desactiva antivirus 5 - Bagle.DQ. Troyano que deshabilita antivirus _____________________________________________________________ 1 - Boletín de seguridad de Microsoft Noviembre 2005 _____________________________________________________________ http://www.vsantivirus.com/vulms05-nov.htm Boletín de seguridad de Microsoft Noviembre 2005 Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Microsoft ha liberado en noviembre de 2005, un solo boletín de seguridad que resuelve tres graves vulnerabilidades en el motor de representación de gráficos, que afectan a Windows XP, 2000 y 2003. Dos de ellas pueden permitir la ejecución remota de código. La actualización está catalogada como crítica. Más información: MS05-053 Ejecución de código imágenes WMF/EMF (896424) http://www.vsantivirus.com/vulms05-053.htm También se publica la actualización mensual de la herramienta de eliminación de software malintencionado de Microsoft Windows (KB890830). Esta herramienta comprueba el equipo en busca de infecciones causadas por software malintencionado frecuente y específico (incluidas las infecciones con Blaster, Sasser y Mydoom) y ayuda a eliminar la infección, en caso de que se detectara alguna. Los usuarios de todas las versiones del sistema operativo compatibles pueden descargar la herramienta desde el siguiente enlace: http://go.microsoft.com/fwlink/?linkid=40587 Los usuarios de Windows XP pueden obtener la versión más reciente mediante Windows Update. Nota: la versión de esta herramienta proporcionada por Windows Update se ejecuta en segundo plano y se elimina automáticamente. Para determinar si la herramienta eliminó algún software malintencionado, consulte el archivo de registro. Si desea ejecutar esta herramienta más de una vez al mes, ejecute la versión disponible en esta página Web o la versión del sitio Web de la Herramienta de eliminación de software malintencionado. Consulte el siguiente enlace para más información: Microsoft Knowledge Base Article - 890830 http://support.microsoft.com/?kbid=890830 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - MS05-053 Ejecución de código imágenes WMF/EMF (896424) _____________________________________________________________ http://www.vsantivirus.com/vulms05-053.htm MS05-053 Ejecución de código imágenes WMF/EMF (896424) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se ha detectado un problema de seguridad relacionado con la ejecución de código remoto en el motor de representación de gráficos que podría permitir a un usuario malintencionado poner en peligro de forma remota un sistema basado en Windows y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Una vez instalada, es posible que deba reiniciar el equipo. * Nivel de gravedad: Crítico * Impacto: Ejecución remota de código * Fecha de publicación: 8 de noviembre de 2005 * Reemplaza: Esta revisión reemplaza a la proporcionada por los siguientes boletines, solo en Windows XP Service Pack 1: MS03-045 Falla en "ListBox" y "ComboBox" (824141) http://www.vsantivirus.com/vulms03-045.htm MS05-002 Vulnerabilidad en cursores e iconos (891711) http://www.vsantivirus.com/vulms05-002.htm * Software afectado: - Microsoft Windows 2000 Service Pack 4 - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP Service Pack 2 - Microsoft Windows XP Professional x64 Edition - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 Service Pack 1 - Microsoft Windows Server 2003 para Itanium - Microsoft Windows Server 2003 SP1 para Itanium - Microsoft Windows Server 2003 x64 Edition * Software NO afectado: - Microsoft Windows 98 - Microsoft Windows 98 Second Edition (SE) - Microsoft Windows Millennium Edition (ME) Estas versiones fueron testeadas y son vulnerables. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft. * Descripción Esta actualización corrige tres importantes vulnerabilidades, de características muy similares entre si: 1. Graphics Rendering Engine - CAN-2005-2123 Una vulnerabilidad en el proceso de archivos de imágenes WMF (Windows Metafile) y EMF (Enhanced Metafile), puede permitir la ejecución remota de código en el sistema. Cualquier programa que procese imágenes WMF o EMF en el equipo afectado, puede ser vulnerable a un ataque. 2. Windows Metafile Vulnerability - CAN-2005-2124 Una vulnerabilidad en el proceso de archivos de imágenes WMF (Windows Metafile), puede permitir la ejecución remota de código en el sistema. Cualquier programa que procese imágenes WMF en el equipo afectado, puede ser vulnerable a un ataque. 3. Enhanced Metafile Vulnerability - CAN-2005-0803 Una vulnerabilidad capaz de provocar una denegación de servicio en el proceso de archivos de imágenes EMF (Enhanced Metafile), puede hacer que cualquier programa que procese imágenes EMF en el equipo afectado, deje de responder. En los tres casos, el problema está ocasionado por la no comprobación de los límites de un búfer de datos en los componentes respectivamente afectados. La explotación exitosa de las dos primeras vulnerabilidades, puede permitir que un usuario remoto pueda llegar a tomar el control total del sistema. En el último caso, un ataque puede provocar que los programas afectados dejen de responder. En todos los casos, el atacante debe persuadir a su víctima para que abra un archivo modificado maliciosamente (un documento de Office por ejemplo), o para que visualice una carpeta conteniendo dicho archivo. También puede explotarse el fallo visualizando un mensaje con imágenes en el panel de vista previa del programa de correo electrónico, o desde una página Web creada de forma maliciosa. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Windows 2000 Service Pack 4 Actualización de seguridad para Windows 2000 (KB896424) http://www.microsoft.com/downloads/details.aspx?familyid=F361 FCCB-B273-47E7-BB15-BC9C27073446&displaylang=es Microsoft Windows XP SP1 y Microsoft Windows XP SP2 Actualización de seguridad para Windows XP (KB896424) http://www.microsoft.com/downloads/details.aspx?familyid=E383 72B2-3BF6-4393-B9A4-F34248C8073E&displaylang=es Microsoft Windows Server 2003 y Windows Server 2003 SP1 Actualización de seguridad para Windows 2003 (KB896424) http://www.microsoft.com/downloads/details.aspx?familyid=CEE3 DD3B-3C20-47A9-8BBD-1EA2FBB4AF96&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms05-053.mspx * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS05-053 www.microsoft.com/technet/security/bulletin/ms05-053.mspx Microsoft Knowledge Base Article - 896424 http://support.microsoft.com/?kbid=896424 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Lupper.A. Infecta servidores bajo Linux, usa PHP, etc. _____________________________________________________________ http://www.vsantivirus.com/lupper-a.htm Nombre: Lupper.A Nombre NOD32: Linux/Lupper.A Tipo: Gusano de Internet (Linux) Alias: Lupper.A, Backdoor.Linux.Small.al, ELF_LUPPER.A, Exploit.Linux.Lupii, Exploit.Linux.Small.x, Linux.Lupii, Linux.Plupii, Linux/Lupper.A, Linux/Lupper.B, Linux/Lupper.worm, Linux/Lupper.X-exploit, Linux/Lupper-B, linux-lupper, Net-Worm.Linux.Lupper.a, Unix/Lupii.A Fecha: 8/nov/05 Plataforma: Unix (Linux) Tamaño: 34,724 bytes Gusano que se propaga utilizando varias vulnerabilidades en servidores de Internet bajo Linux. Cuando se ejecuta, abre una puerta trasera en el puerto UDP 7222, y envía un mensaje de notificación a una dirección IP remota. Genera enlaces que incluyen las siguientes cadenas: /awstats/ /b2/xmlsrv/xmlrpc.php /b2evo/xmlsrv/xmlrpc.php /blog/xmlrpc.php /blog/xmlsrv/xmlrpc.php /blogs/xmlrpc.php /blogs/xmlsrv/xmlrpc.php /blogtest/xmlsrv/xmlrpc.php /cgi/awstats/ /cgi/hints.cgi /cgi/hints.pl /cgi/includer.cgi /cgi-bin/ /cgi-bin/awstats/ /cgi-bin/hints.cgi /cgi-bin/hints.pl /cgi-bin/hints/hints.cgi /cgi-bin/hints/hints.pl /cgi-bin/inc/includer.cgi /cgi-bin/include/includer.cgi /cgi-bin/includer.cgi /cgi-bin/stats/ /cgi-bin/webhints/hints.cgi /cgi-bin/webhints/hints.pl /cgi-local/includer.cgi /community/xmlrpc.php /drupal/xmlrpc.php /hints.cgi /hints.pl /hints/hints.cgi /hints/hints.pl /includer.cgi /phpgroupware/xmlrpc.php /scgi/awstats/ /scgi/hints.cgi /scgi/hints.pl /scgi/includer.cgi /scgi-bin/ /scgi-bin/awstats/ /scgi-bin/hints.cgi /scgi-bin/hints.pl /scgi-bin/hints/hints.cgi /scgi-bin/hints/hints.pl /scgi-bin/inc/includer.cgi /scgi-bin/include/includer.cgi /scgi-bin/includer.cgi /scgi-bin/stats/ /scgi-bin/webhints/hints.cgi /scgi-bin/webhints/hints.pl /scgi-local/includer.cgi /scripts/ /stats/ /webhints/hints.cgi /webhints/hints.pl /wordpress/xmlrpc.php /xmlrpc.php /xmlrpc/xmlrpc.php /xmlsrv/xmlrpc.php El gusano envía solicitudes HTTP a los enlaces antes generados, para intentar propagarse utilizando conocidas vulnerabilidades en servidores bajo Linux. Una de las vulnerabilidades empleadas por el gusano, fue hecha publica recientemente, y está relacionada con la posibilidad de inyectar código en páginas PHP en un entorno XML-RPC, lo que permite la ejecución de código en el contexto del servidor Web. PHP, acrónimo de "PHP: Hypertext Preprocessor", es un lenguaje interpretado de alto nivel, y de código abierto, que se ejecuta en el servidor, y puede estar embebido en páginas HTML. Permite desarrollar páginas web dinámicas de una manera rápida y fácil. El protocolo XML-RPC es la implementación estandarizada de un lenguaje basado en XML, utilizado en muchos servicios Web. Otras vulnerabilidades explotadas por este gusano están relacionadas con las utilidades AWStats (Advanced Web Statistics, una herramienta que genera estadísticas gráficas para sitios web), y Webhints (permite agregar citas diarias, etc.). El gusano intenta descargar desde una determinada página web, una copia de si mismo en los sitios a los que apuntan los enlaces, pero dicho archivo no está disponible al momento actual. El archivo sería copiado en la siguiente ubicación: /tmp/lupii * Limpieza del sistema NOTA: Un sistema afectado por este gusano, debería ser totalmente reinstalado, y los datos restaurados desde respaldos limpios, ya que al abrirse una puerta trasera en el servidor, que permite el acceso remoto a intrusos, jamás se podrá saber el grado de compromiso al sistema que se pueda haber alcanzado. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Bagle.DP. Crea proxy, envía spam, desactiva antivirus _____________________________________________________________ http://www.vsantivirus.com/bagle-dp.htm Nombre: Bagle.DP Nombre NOD32: Win32/Bagle.DP Tipo: Caballo de Troya Alias: Bagle.DP, Dropped:Win32.Worm.Bagle.PAC, Email- Worm.Bagle.pac, Email-Worm.Win32.Bagle.EE, Email- Worm.Win32.Bagle.pac, I-Worm/Bagle, Trj/Mitglieder.gen, Troj/Lohav-U, Trojan.Mitglieder.Q, Trojan/Bagle.Gen.B, W32/Bagle.gen, W32/Bagle.GEN@MM, W32/Bagle.PAC-mm, W32/Bagle.U-mm, W32/Malware, Win32.Bagle.PAC, Win32.HLLM.Beagle.20271, Win32.HLLM.Beagle.3317, Win32.Mitglieder.DG, Win32/Bagle.DP, Win32:Beagle-gen5, Worm.Beagle.Pac Fecha: 8/nov/05 Plataforma: Windows 32-bit Tamaño: 3,317 bytes; 20,271 bytes Gusano y caballo de Troya descargado por variantes del Bagle, que intenta desactivar diversos productos antivirus y cortafuegos. Puede enviar correo masivo desde el PC infectado. Fue detectado el 8 de noviembre de 2005 por la heurística avanzada de NOD32 sin necesidad de actualización de firmas. Cuando se ejecuta, crea los siguientes archivos en el sistema infectado: c:\windows\system32\forõ.exe c:\windows\system32\noat.exe c:\windows\system32\wintems.exe NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Crea las siguientes entradas en el registro, la primera de ella para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\WindowsCurrentVersion\Run german.exe = c:\windows\system32\wintems.exe HKCU\Software\DateTime1 uid = [valor] port = [valor] wdrn = [valor] Cuando se ejecuta WINTEMS.EXE, el troyano inyecta en el proceso del EXPLORER el archivo NOAT.EXE, quedando oculto en la lista de procesos en ejecución. NOAT.EXE carga el archivo FORÕ.EXE que contiene las principales funciones del troyano. Intenta enviar información del equipo infectado a un script PHP, conectándose a cualquiera de los siguientes servidores: artesproduction .com avistrade .ru bernlocher .de blackwidow .nsk .ru comdat .de dabigbadboy .de die-cliquee .de egogo .ru gaz-service .ru gnet30 .gamesnet .de hannes-wacker .de investexpo .ru komtel .spb .ru mc-figga .de mir-auto .ru mir-vesov .ru monomah-city .ru multi-gaming .com partiyazerna .1gb .ru plastikp .ru prizmapr .ru promco .ru pvcps .ru rdwufa .ru roszvetmet .com schiffsparty .de service6 .valuehost .ru shop-of-innovations .de sound-cell .de st-agnes .de stroyindustry .ru tpoint .ru unbound .de vladzernoproduct .ru web298 .server7 .webplus24 .de www .13tw22rigobert .de www .admlaw .ru www .deadlygames .de www .emil-zittau .de www .etype .hostingcity .net www .eurostretch .ru www .ferienwohnung-in-masuren .de www .gasterixx .de www .gay-traffic .de www .hhc-online .de www .komandor .ru www .levada .ru www .lowenbrau .ru www .metzgerei-gebhart .de www .mirage .ru www .ordendeslichts .de www .progame .de www .psnr .ru www .thomas-we .de Detiene los siguientes servicios, y modifica su configuración para deshabilitarlos: SharedAccess wscsvc SharedAccess es el servicio de "Conexión de seguridad a Internet (ICF)/Conexión compartida a Internet (ICS)", y "wscsvc" corresponde al "Centro de Seguridad de Windows". El troyano también finaliza los siguientes procesos pertenecientes a antivirus y otras aplicaciones de seguridad, si alguno de ellos se encuentra activo en la máquina infectada: agentsvr.exe anti-trojan.exe antivirus.exe ants.exe apimonitor.exe aplica32.exe apvxdwin.exe atcon.exe atguard.exe atro55en.exe atupdater.exe atwatch.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avgserv9.exe avltmain.exe avprotect9x.exe avpupd.exe avsynmgr.exe avwupd32.exe avxquar.exe bd_professional.exe bidef.exe bidserver.exe bipcp.exe bipcpevalsetup.exe bisp.exe blackd.exe blackice.exe bootwarn.exe borg2.exe bs120.exe cdp.exe cfgwiz.exe cfiadmin.exe cfiaudit.exe cfinet.exe cfinet32.exe clean.exe cleaner.exe cleaner3.exe cleanpc.exe cmgrdian.exe cmon016.exe cpd.exe cpf9x206.exe cpfnt206.exe cv.exe cwnb181.exe cwntdwmo.exe defwatch.exe deputy.exe dpf.exe dpfsetup.exe drvddll.exe drvsys.exe drwatson.exe drwebupw.exe ent.exe escanh95.exe escanhnt.exe escanv95.exe exantivirus-cnet.exe fast.exe firewall.exe flowprotector.exe fp-win_trial.exe frw.exe fsav.exe fsav530stbyb.exe fsav530wtbyb.exe fsav95.exe gbmenu.exe gbpoll.exe guard.exe guarddog.exe hacktracersetup.exe htlog.exe hwpe.exe iamapp.exe iamserv.exe icload95.exe icloadnt.exe icmon.exe icssuppnt.exe icsupp95.exe icsuppnt.exe ifw2000.exe iparmor.exe iris.exe jammer.exe kavlite40eng.exe kavpers40eng.exe kerio-pf-213-en-win.exe kerio-wrl-421-en-win.exe kerio-wrp-421-en-win.exe killprocesssetup161.exe ldpro.exe localnet.exe lockdown.exe lockdown2000.exe lsetup.exe luall.exe lucomserver.exe luinit.exe mcagent.exe mcupdate.exe mfw2en.exe mfweng3.02d30.exe mgui.exe minilog.exe moolive.exe mrflux.exe msconfig.exe msinfo32.exe mssmmc32.exe mu0311ad.exe nav80try.exe navapw32.exe navdx.exe navstub.exe navw32.exe nc2000.exe ncinst4.exe ndd32.exe neomonitor.exe netarmor.exe netinfo.exe netmon.exe netscanpro.exe netspyhunter-1.2.exe netstat.exe nisserv.exe nisum.exe nmain.exe norton_internet_secu_3.0_407.exe npf40_tw_98_nt_me_2k.exe npfmessenger.exe nprotect.exe nsched32.exe ntvdm.exe nupgrade.exe nvarch16.exe nwinst4.exe nwtool16.exe ostronet.exe outpost.exe outpostinstall.exe outpostproinstall.exe padmin.exe panixk.exe pavproxy.exe pcc2002s902.exe pcc2k_76_1436.exe pcciomon.exe pcdsetup.exe pcfwallicon.exe pcip10117_0.exe pdsetup.exe periscope.exe persfw.exe pf2.exe pfwadmin.exe pingscan.exe platin.exe poproxy.exe popscan.exe portdetective.exe ppinupdt.exe pptbc.exe ppvstop.exe procexplorerv1.0.exe proport.exe protectx.exe pspf.exe purge.exe pview95.exe qconsole.exe qserver.exe rav8win32eng.exe regedit.exe regedt32.exe rescue.exe rescue32.exe rrguard.exe rshell.exe rtvscn95.exe rulaunch.exe safeweb.exe sbserv.exe sd.exe setup_flowprotector_us.exe setupvameeval.exe sfc.exe sgssfw32.exe sh.exe shellspyinstall.exe shn.exe smc.exe sofi.exe spf.exe sphinx.exe spyxx.exe ss3edit.exe st2.exe supftrl.exe supporter5.exe symproxysvc.exe sysedit.exe taskmon.exe taumon.exe tauscan.exe tc.exe tca.exe tcm.exe tds2-98.exe tds2-nt.exe tds-3.exe tfak5.exe tgbob.exe titanin.exe titaninxp.exe tracert.exe trjscan.exe trjsetup.exe trojantrap3.exe undoboot.exe update.exe vbcmserv.exe vbcons.exe vbust.exe vbwin9x.exe vbwinntw.exe vcsetup.exe vfsetup.exe virusmdpersonalfirewall.exe vnlan300.exe vnpc3000.exe vpc42.exe vpfw30s.exe vptray.exe vscenu6.02d30.exe vsecomr.exe vshwin32.exe vsisetup.exe vsmain.exe vsmon.exe vsstat.exe vswin9xe.exe vswinntse.exe vswinperse.exe w32dsm89.exe w9x.exe watchdog.exe webscanx.exe wgfe95.exe whoswatchingme.exe winrecon.exe wnt.exe wradmin.exe wrctrl.exe wsbgate.exe wyvernworksfirewall.exe xpf202en.exe zapro.exe zapsetup3001.exe zatutor.exe zauinst.exe zonalm2601.exe zonealarm.exe El troyano abre un servidor proxy que actúa como intermediario entre Internet y un atacante remoto, para realizar acciones como las siguientes: - Actualizar el propio troyano - Descargar y ejecutar archivos - Desinstalar el troyano - Iniciar un servidor SMTP para el reenvío de spam - Modificar el puerto por defecto del proxy El troyano se conecta al siguiente servidor SMTP por el puerto TCP 25, para enviar mensajes en forma de spam: smtp.wanadoo.fr Puede enviar información a numerosas páginas web, mediante un script PHP. Algunos de los sitios contactados: artesproduction .com avistrade .ru bernlocher .de blackwidow .nsk .ru dabigbadboy .de die-cliquee .de egogo .ru gaz-service .ru gnet30 .gamesnet .de hannes-wacker .de investexpo .ru komtel .spb .ru mc-figga .de mir-auto .ru mir-vesov .ru monomah-city .ru multi-gaming .com partiyazerna .1gb .ru plastikp .ru prizmapr .ru promco .ru pvcps .ru rdwufa .ru roszvetmet .com schiffsparty .de service6 .valuehost .ru shop-of-innovations .de sound-cell .de st-agnes .de stroyindustry .ru tpoint .ru unbound .de vladzernoproduct .ru web298 .server7 .webplus24 .de www .13tw22rigobert .de www .admlaw .ru www .deadlygames .de www .emil-zittau .de www .etype .hostingcity .net www .eurostretch .ru www .ferienwohnung-in-masuren .de www .gasterixx .de www .gay-traffic .de www .hhc-online .de www .komandor .ru www .levada .ru www .lowenbrau .ru www .metzgerei-gebhart .de www .mirage .ru www .ordendeslichts .de www .progame .de www .thomas-we .de También descarga cada 60 minutos, una lista de direcciones para filtrar conexiones, de los siguientes dominios: avistrade .ru comdat .de die-cliquee .de gaz-service .ru mir-vesov .ru monomah-city .ru partiyazerna .1gb .ru prizmapr .ru promco .ru pvcps .ru rdwufa .ru service6 .valuehost .ru www .13tw22rigobert .de www .lowenbrau .ru www .psnr .ru www .thomas-we .de La lista es guardada en el siguiente archivo: c:\windows\system32\ban_list.txt Crea los siguientes mutex para no autoejecutarse más de una vez en memoria y para otras funciones de control: zorr10 zorro10 * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \DateTime1 7. Haga clic en la carpeta "DateTime1" y bórrela. 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \wscsvc 18. Haga clic en la carpeta "wscsvc" y modifique el valor de la siguiente entrada para que figure como se indica aquí: Start = "2" 19. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 20. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Cómo rehabilitar el servicio SharedAccess (Windows 2000 y XP): Este servicio habilita la resolución de nombres y direcciones para todos los equipos de red doméstica o pequeña oficina, y es usado para la conexión compartida a Internet, y por el firewall (cortafuego) de Windows XP. Para rehabilitar este servicio, siga estos pasos: - En Windows XP Service Pack 2: Cuando este servicio es detenido, un mensaje de atención (globo de texto) advierte que se desconoce el estado del firewall. Para rehabilitarlo, siga estos pasos: 1. Desde Inicio, Panel de control, seleccione el "Centro de seguridad". 2. Si el Firewall aparece como desactivado, haga clic en la leyenda "Firewall de Windows" (abajo) y marque la opción "Activado (recomendado)". 3. Seleccione "Aceptar", etc. - En Windows 2000, Windows XP, Windows XP SP1: 1. En Inicio, Ejecutar, escriba "services.msc" y pulse Enter. 2. En la columna "Nombre" busque "Conexión de seguridad a Internet (ICF)/Conexión compartida a Internet (ICS)" (en Windows XP), o solo "Conexión compartida a Internet (ICS)" (en Windows 2000). 3. Haga doble clic sobre ese nombre, y en "Tipo de inicio:", seleccione "Automático" 4. En la misma ventana, "Estado del servicio:", haga clic en "Iniciar" 5. Pinche en "Aceptar", etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - Bagle.DQ. Troyano que deshabilita antivirus _____________________________________________________________ http://www.vsantivirus.com/bagle-dq.htm Nombre: Bagle.DQ Nombre NOD32: Win32/Bagle.DQ Tipo: Caballo de Troya Alias: Bagle.DQ, Dropped:Win32.Bagle.PB@mm, Email- Worm.Win32.Bagle.EE, Email-Worm.Win32.Bagle.pac, I- Worm/Bagle, Trj/Mitglieder.FU, Troj/BagDl-Fam, Trojan.Lodav.A, Trojan/Bagle.Gen.B, W32/Bagle.gen, W32/Bagle.GEN@MM, W32/Bagle.PAC-mm, W32/Malware, W32/Mitglieder.gen, Win32.Fantibag.K, Win32.HLLM.Beagle.38912, Win32/Bagle.DQ, Win32/Fantibag.K!Trojan, Win32:Beagle-gen5, Worm.Beagle.Pac Fecha: 8/nov/05 Plataforma: Windows 32-bit Tamaño: 19,076 bytes Puerto: TCP 80 Caballo de Troya descargado por variantes del Bagle, que intenta desactivar diversos productos antivirus y cortafuegos. Fue detectado el 8 de noviembre de 2005 por la heurística avanzada de NOD32 sin necesidad de actualización de firmas. Cuando se ejecuta, crea los siguientes archivos en la carpeta System de Windows: c:\windows\system32\antiav_exe.exe c:\windows\system32\antiav_dll.dll El archivo .DLL es inyectado en el proceso de EXPLORER.EXE (la interfase del propio Windows). NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run auto__antiav__key = "c:\windows\system32\antiav_exe.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run auto__antiav__key = "c:\windows\system32\antiav_exe.exe" Usando el DLL inyectado en el proceso EXPLORER.EXE, el gusano intenta conectarse a diversos sitios de Internet, a través del puerto TCP 80 para descargar otros archivos. El troyano, intenta desactivar los procesos relacionados con los siguientes nombres de archivos, todos ellos relacionados con programas de seguridad (antivirus y cortafuegos): ashAvast.exe ashDisp.exe ashEnhcd.exe ashPopWz.exe ashShA64.dll ashSimpl.exe ashSkPck.exe ashWebSv.exe AUPDATE.EXE Avconsol.exe avgcc.exe AVGCMSG.DLL avgemc.exe AVGNT.EXE AVSCHED32.DLL AVSCHED32.EXE Avsynmgr.exe AVWUPD32.EXE BCGCB59.dll bdmcon.exe bdnews.exe bdsubmit.exe bdswitch.exe cafix.exe ccApp.exe CCEVTMGR.EXE ccl30.dll CCSETMGR.EXE ccvrtrst.dll ClamTray.exe ClamWin.exe CMGrdian.exe D2htls32.dll drwadins.exe drweb32w.exe drwebscd.exe drwebupw.exe FFJMPWEB.DLL freshclam.exe GUARDEVT.DLL GUARDGUI.EXE GUARDMSG.DLL GuardNT.exe IksysT32.dll INETUPD.EXE InocIT.exe InoOEM.dll InoOption.dll InoUpTNG.exe isafe.exe KAV.exe kavmm.exe KAVPF.exe LUALL.EXE LUINSDLL.DLL Luupdate.exe Mcshield.exe NAVAPSVC.EXE nod32.exe nod32api.dll nod32kui.exe NPFMNTOR.EXE npfmsg.exe Nvccf0D.dll Nvcevlog.dll Nvcod.exe Nvcte.exe Nvcut.exe OCONNDLG.DLL OCOOKDLG.DLL outpost.exe pccguide.exe PcCtlCom.exe python23.dll QHPF.EXE Realmon.exe regedit.exe regedt32.exe RuLaunch.exe schface.dll SNDSrvc.exe SPBBCSvc.exe spiderml.exe symlcsvc.exe T2w32.dll Tmntsrv.exe TmPfw.exe tmproxy.exe Up2Date.exe upgrepl.exe Vba32ECM.exe Vba32ifs.exe vba32ldr.exe Vba32PP3.exe vbaifps.dll vetredir.dll Vshwin32.exe VsStat.exe vsvault.dll XT1922.dll zatutor.exe zlavscan.dll zlclient.exe zonealarm.exe Finaliza los siguientes servicios: Ahnlab task Scheduler alerter AlertManger AntiVir Service aswUpdSv Ati HotKey Poller avast! Antivirus AVEService AVExch32Service avg7alrt avg7updsvc AvgCore AvgFsh AvgServ AVIRAMailService AVIRAService avpcc AVUPDService AVWUpSrv AvxIni awhost32 backweb client - 4476822 BackWeb Client - 7681197 backweb client-4476822 bdss BlackICE CAISafe ccEvtMgr ccPwdSvc ccSetMgr ccSetMgr.exe DefWatch dvpapi dvpinit fsbwsys fsdfwd F-Secure Gatekeeper Handler Starter FSMA Guard NT InoRpc InoRT InoTask KAVMonitorService kavsvc KLBLMain McAfee Firewall McAfeeFramework McShield McTaskManager mcupdmgr.exe MCVSRte MonSvcNT navapsvc Network Associates Log Service nipsvc NISSERV NISUM NOD32ControlCenter NOD32Service Norman NJeeves Norman Type-R Norman ZANDA Norton Antivirus Server NPFMntor NProtectService NSCTOP nvcoas NVCScheduler nwclntc nwclntd nwclnte nwclntf nwclntg nwclnth NWService Outbreak Manager Outpost Firewall OutpostFirewall PASSRV PAVFNSVR Pavkre PavProt PavPrSrv PAVSRV PCCPFW PersFW PREVSRV PSIMSVC ravmon8 SAVFMSE SAVScan SBService schscnt SharedAccess SmcService SNDSrvc SPBBCSvc SpiderNT SweepNet SWEEPSRV.SYS Symantec AntiVirus Client Symantec Core LC Tmntsrv V3MonNT V3MonSvc Vba32ECM Vba32ifs Vba32Ldr Vba32PP3 VexiraAntivirus VisNetic AntiVirus Plug-in vsmon vsserv wscsvc wuauserv WZCSVC xcomm Intenta borrar todos los archivos del equipo infectado, cuyo nombre incluya algunas de las siguientes cadenas: \1ashAvast.exe \1ashDisp.exe \1ashEnhcd.exe \1ashPopWz.exe \1ashShA64.dll \1ashSimpl.exe \1ashSkPck.exe \1ashWebSv.exe \1AUPDATE.EXE \1Avconsol.exe \1avgcc.exe \1AVGCMSG.DLL \1avgemc.exe \1AVGNT.EXE \1AVSCHED32.DLL \1AVSCHED32.EXE \1Avsynmgr.exe \1AVWUPD32.EXE \1BCGCB59.dll \1bdmcon.exe \1bdnews.exe \1bdsubmit.exe \1bdswitch.exe \1cafix.exe \1ccApp.exe \1CCEVTMGR.EXE \1ccl30.dll \1CCSETMGR.EXE \1ccvrtrst.dll \1ClamTray.exe \1ClamWin.exe \1CMGrdian.exe \1D2htls32.dll \1drwadins.exe \1drweb32w.exe \1drwebscd.exe \1drwebupw.exe \1FFJMPWEB.DLL \1freshclam.exe \1GUARDEVT.DLL \1GUARDGUI.EXE \1GUARDMSG.DLL \1GuardNT.exe \1IksysT32.dll \1INETUPD.EXE \1InocIT.exe \1InoOEM.dll \1InoOption.dll \1InoUpTNG.exe \1isafe.exe \1KAV.exe \1kavmm.exe \1KAVPF.exe \1LUALL.EXE \1LUINSDLL.D\1Luupdate.exe \1Mcshield.exe \1NAVAPSVC.EXE \1nod32.exe \1nod32api.dll \1nod32kui.exe \1NPFMNTOR.EXE \1npfmsg.exe \1Nvccf0D.dll \1Nvcevlog.dll \1Nvcod.exe \1Nvcte.exe \1Nvcut.exe \1OCONNDLG.DLL \1OCOOKDLG.DLL \1outpost.exe \1pccguide.exe \1PcCtlCom.exe \1python23.dll \1QHPF.EXE \1Realmon.exe \1regedit.exe \1regedt32.exe \1RuLaunch.exe \1schface.dll \ashAvast.exe \ashDisp.exe \ashDisp.exe \ashEnhcd.exe \ashPopWz.exe \ashShA64.dll \ashSimpl.exe \ashSkPck.exe \ashWebSv.exe \AUPDATE.EXE \Avconsol.exe \avgcc.exe \AVGCMSG.DLL \avgemc.exe \AVGNT.EXE \AVSCHED32.DLL \AVSCHED32.EXE \Avsynmgr.exe \AVWUPD32.EXE \BCGCB59.dll \bdmcon.exe \bdnews.exe \bdsubmit.exe \bdswitch.exe \cafix.exe \ccApp.exe \CCEVTMGR.EXE \ccl30.dll \CCSETMGR.EXE \ccvrtrst.dll \ClamTray.exe \ClamWin.exe \CMGrdian.exe \D2htls32.dll \drwadins.exe \drweb32w.exe \drwebscd.exe \drwebupw.exe \FFJMPWEB.DLL \freshclam.exe \GUARDEVT.DLL \GUARDGUI.EXE \GUARDMSG.DLL \GuardNT.exe \IksysT32.dll \INETUPD.EXE \InocIT.exe \InoOEM.dll \InoOption.dll \InoUpTNG.exe \isafe.exe \KAV.exe \kavmm.exe \KAVPF.exe \LUALL.EXE \LUINSDLL.DLL \Luupdate.exe \Mcshield.exe \NAVAPSVC.EXE \nod32.exe \nod32api.dll \nod32kui.exe \NPFMNTOR.EXE \npfmsg.exe \Nvccf0D.dll \Nvcevlog.dll \Nvcod.exe \Nvcte.exe \Nvcut.exe \OCONNDLG.DLL \OCOOKDLG.DLL \outpost.exe \pccguide.exe \PcCtlCom.exe \python23.dll \QHPF.EXE \Realmon.exe \regedit.exe \regedt32.exe \RuLaunch.exe \S1NDSrvc.exe \s1ymlcsvc.exe \schface.dll \SNDSrvc.exe \SPBBCSvc.exe \spiderml.exe \symlcsvc.exe \T12w32.dll \T1mntsrv.exe \T2w32.dll \Tm1Pfw.exe \tm1proxy.exe \Tmntsrv.exe \TmPfw.exe \tmproxy.exe \U1p2Date.exe \u1pgrepl.exe \Up2Date.exe \upgrepl.exe \V1ba32ECM.exe \V1ba32ifs.exe \v1ba32ldr.exe \V1ba32PP3.exe \v1etredir.dll \vb1aifps.dll \Vba32ECM.exe \Vba32ifs.exe \vba32ldr.exe \Vba32PP3.exe \vbaifps.dll \vetredir.dll \Vs1hwin32.exe \Vs1Stat.exe \vs1vault.dll \Vshwin32.exe \VsStat.exe \vsvault.dll \XT11922.dll \XT1922.dll \za1tutor.exe \zatutor.exe \zl1client.exe \zla1vscan.dll \zlavscan.dll \zlclient.exe \zo1nealarm.exe \zonealarm.exe También borra las siguientes entradas del registro: De la siguiente rama: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Si existe, borra esta entrada: McAfee.InstantUpdate.Monitor De la siguiente rama: HKLM\SOFTWARE Si existen, borra estas entradas: Agnitum KasperskyLab McAfee Panda Software Symantec Trend Micro Zone Labs De la siguiente rama: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Si existen, borra estas entradas: APVXDWIN avg7_cc avg7_emc ccApp KAV50 McAfee Guardian NAV CfgWiz SSC_UserPrompt Symantec NetDriver Monitor Zone Labs Client Además, impide el acceso a las siguientes direcciones, intentando impedir que los productos antivirus puedan actualizarse: 193 .69 .114 .12 212 .113 .20 .69 213 .219 .245 .4 213 .248 .60 .121 216 .200 .68 .152 62 .146 .66 .181 63 .210 .193 .12 84 .53 .142 .22 84 .53 .142 .6 ad .doubleclick .net ad .fastclick .net ads .fastclick .net antivir .de anti-virus .by ar .atwola .com atdmt .com avast .com avira .com avp .ch avp .com avp .ru awaps .net banner .fastclick .net banners .fastclick .net bitdefender .com bitdefender .ru ca .com clamav .net clamwin .com click .atdmt .com clicks .atdmt .com customer .symantec .com database .clamav .net dispatch .mcafee .com download .ikarus .at download .mcafee .com download .microsoft .com download25 .avast .com downloadhosting .core .ignum .cz downloads .avira .com downloads .microsoft .com downloads1 .kaspersky-labs .com downloads2 .kaspersky-labs .com downloads3 .kaspersky-labs .com downloads4 .kaspersky-labs .com downloads-eu1 .kaspersky-labs .com downloads-us1 .kaspersky-labs .com downloads-us2 .kaspersky-labs .com downloads-us3 .kaspersky-labs .com drweb .com drweb .ru engine .awaps .net esetsoftware .com fastclick .net files .referats .net f-secure .com ftp .avp .ch ftp .downloads2 .kaspersky-labs .com ftp .f-secure .com ftp .kasperskylab .ru ftp .sophos .com ftpav .ca .com gin .ba .euroweb .sk go .microsoft .com grisoft .com hbedv .com ids .kaspersky-labs .com ikarus-software .at kaspersky .com kaspersky .ru kaspersky-labs .com liveupdate .symantec .com liveupdate .symantecliveupdate .com mast .mcafee .com mcafee .com media .fastclick .net msdn .microsoft .com msk4 .drweb .com my-etrust .com my-etrust .com nai .com networkassociates .com niutwo .norman .no office .microsoft .com open .by pandasoftware .com phx .corporate-ir .net rads .mcafee .com ravantivirus .com report .bitdefender .com rs02 .avast .com rs03 .avast .com rs06 .avast .com rs07 .avast .com rs08 .avast .com rs10 .avast .com rs11 .avast .com rs18 .avast .com rs18 .avast .com rs20 .avast .com rs24 .avast .com secure .nai .com securityresponse .symantec .com service1 .symantec .com sm01 .avast .com sm04 .avast .com sm05 .avast .com sm09 .avast .com sm12 .avast .com sm13 .avast .com sm14 .avast .com sm15 .avast .com sm16 .avast .com sm17 .avast .com sm19 .avast .com sm21 .avast .com sm22 .avast .com sm23 .avast .com sm25 .avast .com sophos .com spd .atdmt .com support .microsoft .com symantec .com trendmicro .com update .symantec .com updates .symantec .com updates1 .kaspersky-labs .com updates2 .kaspersky-labs .com updates3 .kaspersky-labs .com updates4 .kaspersky-labs .com updates5 .kaspersky-labs .com upgrade .bitdefender .com us .mcafee .com vba32 .de vil .nai .com viruslist .com viruslist .ru windowsupdate .microsoft .com www .antivir .de www .anti-virus .by www .avast .com www .avira .com www .avp .ch www .avp .com www .avp .ru www .awaps .net www .bitdefender .com www .bitdefender .ru www .ca .com www .clamav .net www .clamwin .com www .drweb .com www .fastclick .net www .f-secure .com www .grisoft .com www .hacksoft .com .pe www .hbedv .com www .kaspersky .com www .kaspersky .ru www .kaspersky-labs .com www .mcafee .com www .my-etrust .com www .nai .com www .networkassociates .com www .open .by www .pandasoftware .com www .ravantivirus .com www .sophos .com www .symantec .com www .trendmicro .com www .vba32 .de www .viruslist .com www .viruslist .ru www2 .eset .com www3 .ca .com zak .avira .com * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. 6. Reinicie su computadora. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1950 Año 9, miércoles 9 de noviembre de 2005