Mostrando mensaje 1008     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1956 Año 9, martes 15 de noviembre de 2005 Fecha: Martes, 15 de Noviembre, 2005  03:17:19 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1956 Año 9, martes 15 de noviembre de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Anti Spywares sospechosos o no confiables (14/11/05) 2 - Sober.X. Desactiva la red, finaliza antivirus 3 - TrojanDownloader.Small.AOD. Descarga otros troyanos 4 - Padodor.BC. Roba información, se propaga por LSASS _____________________________________________________________ 1 - Anti Spywares sospechosos o no confiables (14/11/05) _____________________________________________________________ http://www.vsantivirus.com/lista-nospyware.htm Anti Spywares sospechosos o no confiables (14/11/05) Actualización de la lista de programas que se presentan como anti-spywares o anti-adwares, que usted no debería instalar o ejecutar en su computadora, si no desea correr el riesgo de, o bien infectarse con la misma basura que irónicamente muchos de ellos dicen quitar, o bien ser engañados por productos que mienten a la hora de detectar malwares (deliberadamente o no), para que el usuario termine comprándolos. Última actualización 14/nov/05 - 232 entradas http://www.vsantivirus.com/lista-nospyware.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Sober.X. Desactiva la red, finaliza antivirus _____________________________________________________________ http://www.vsantivirus.com/sober-x.htm Nombre: W32/Sober.X Nombre NOD32: Win32/Sober.X Tipo: Gusano de Internet Alias: Sober.X, Email-Worm.Win32.Sober.t, Email- Worm.Win32.Sober.u, W32.Sober.T@mm, W32/Sober-U, W32/Sober.u@MM, Win32/Sober.X, WORM_SOBER.AD, WORM_SOBER.GEN Fecha: 14/nov/05 Plataforma: Windows 32-bit Tamaño: varios (130 KB aprox.) (UPX) Escrito en Microsoft Visual Basic, este gusano se propaga por correo electrónico, o es enviado en forma de spam. Su tamaño varía, porque agrega basura a su código cada vez que se instala. Los mensajes tienen asuntos y textos en inglés o alemán. Utiliza su propio motor SMTP, de modo que no depende del cliente utilizado por la víctima para enviarse. El envío masivo de mensajes, afecta notoriamente el rendimiento de la conexión a Internet del usuario infectado. Cuando se ejecuta en Windows XP Service Pack 2, el gusano impide que el sistema infectado se pueda conectar a una red. También finaliza la ejecución de la herramienta de eliminación de software malintencionado de Microsoft, impidiendo que la misma se ejecute. Intenta finalizar la ejecución de varios antivirus. El remitente siempre es falso, y es seleccionado al azar de la lista de direcciones a las que el gusano se envía. El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones: .at .ch .de .li También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés. Mensajes en inglés: De: [remitente falso] Asunto: Thanks for your registration. Texto del mensaje: Your data are saved in the zipped Word.doc file! Datos adjuntos: registration.zip Mensaje en alemán: De: [remitente falso] Asunto: Haben Sie diese EMail verschickt? Texto del mensaje: Es waere von Vorteil, wenn Sie sich dazu aeussern wuerden!! Um es vorweg zu sagen: Ich bin kurz davor eine Anzeige gegen Sie zu erstatten! Sie spinnen ja wohl! Die E-Mail hat meine Tochter gelesen!!!!!! Ich habe Ihnen diese Word-Text Datei zu meiner Entlastung zurueckgeschickt. Datos adjuntos: Word-Text.zip En ambos casos, el archivo .ZIP contiene el ejecutable del gusano. El gusano solo se ejecuta cuando el usuario hace doble clic sobre el adjunto. Cuando ello sucede, se muestra una falsa ventana de error con el siguiente texto: AntiVirus No Viruses, Trojans or Spyware found! Status: OK [ OK ] Mientras ello sucede, el gusano crea las carpetas "ConnectionStatus\Microsoft" dentro de la carpeta de Windows, y se copia allí con el siguiente nombre: c:\windows\ConnectionStatus\Microsoft\SERVICES.EXE También crea allí el siguiente archivo: c:\windows\ConnectionStatus\Microsoft\CONCON.WWW Además crea los siguientes archivos dentro de la carpeta del sistema en Windows: c:\windows\system32\bbvmwxxf.hml c:\windows\system32\gdfjgthv.cvq c:\windows\system32\langeinf.lin c:\windows\system32\nonrunso.ber c:\windows\system32\rubezahl.rub c:\windows\system32\runstop.rst NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). Crea las siguientes entradas para auto ejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run _WinCheck = "c:\windows\ConnectionStatus\Microsoft\services.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WinCheck = "c:\windows\ConnectionStatus\Microsoft\services.exe" El gusano utiliza su propio motor SMTP (Simple Mail Transfer Protocol), para enviarse en forma masiva. Obtiene las direcciones de archivos con las siguientes extensiones: .abc .abd .abx .adb .ade .adp .adr .asp .bak .bas .cfg .cgi .cls .cms .csv .ctl .dbx .dhtm .doc .dsp .dsw .eml .fdb .frm .hlp .imb .imh .imh .imm .inbox .ini .jsp .ldb .ldif .log .mbx .mda .mdb .mde .mdw .mdx .mht .mmf .msg .nab .nch .nfo .nsf .nws .ods .oft .php .phtm .pl .pmr .pp .ppt .pst .rtf .shtml .slk .sln .stm .tbb .txt .uin .vap .vbs .vcf .wab .wsh .xhtml .xls .xml Las direcciones seleccionados, son las que tengan los siguientes dominios: .at .com .ch .de .net Evita aquellas direcciones que contengan las siguientes cadenas en su nombre: .dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @msn @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock -dav detection domain. emsisoft ewido. freeav free-av ftp. gold-certs host. icrosoft ipt.aol law2 mailer-daemon mantec me@ mozilla msdn. mustermann@ nlpmail01. nothing reciver@ secure smtp- somebody someone spybot sql. subscribe t-dialin time t-ipconnect user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname Utiliza cualquiera de los siguientes servidores SMTP para enviar los mensajes infectados: mail.ainet.at mail.arcor.de mail.bigpond.com mail.eplus-online.de mail.genion.de mail.imail.de mail.optusnet.com.au mail.ozemail.com.au mail.restena.lu mail.salzburg-online.at mail.tiscali.ch mail.tutopia.com mail.verizon.net.do smtp.1und1.de smtp.ameritech.yahoo.com smtp.cityweb.de smtp.comcast.net smtp.compuserve.de smtp.fastwebnet.it smtp.omantel.net.om smtp.planet-interkom.de smtp.pop.debitel.net smtp.tele2 smtp.tiscali.de smtp.worldonline.de smtpauth.bluewin.ch smtpauth.earthlink.net Cuando se ejecuta en Windows XP SP2, el gusano modifica el archivo TCPIP.SYS en c:\windows\system32\drivers, para impedir la conexión a una red. El archivo TCPIP.SYS queda inutilizable. El gusano monitorea constantemente la lista de procesos activos. Si en dicha lista aparece el archivo MRT.EXE, impide su ejecución. Este archivo corresponde a la herramienta de eliminación de software malintencionado de Microsoft. También intenta finalizar cualquier aplicación cuyo nombre contenga partes de estas cadenas de caracteres: avwin. brfix fixsob fxsob gcas gcip giantanti guardgui. hijack inetupd. microsoftanti nod32. nod32kui sober s-t-i-n stinger El gusano mantiene activos varios procesos en memoria para permanecer siempre residente. Si se elimina cualquiera de ellos, los demás crean un nuevo proceso. * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Cómo recuperar TCPIP.SYS (solo Windows XP SP2): IMPORTANTE: Para recuperar el archivo TCPIP.SYS en Windows XP SP2, siga las instrucciones del siguiente enlace: Cómo recuperar archivos borrados (98, Me, XP) http://www.vsantivirus.com/faq-sfc.htm NOTA: TCPIP.SYS debe quedar en la siguiente ubicación: C:\WINDOWS\system32\drivers\tcpip.sys * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - TrojanDownloader.Small.AOD. Descarga otros troyanos _____________________________________________________________ http://www.vsantivirus.com/trojandownloader-small-aod.htm Nombre: TrojanDownloader.Small.AOD Nombre NOD32: Win32/TrojanDownloader.Small.AOD Tipo: Caballo de Troya Alias: Small.AOD, TrojanDownloader.Small.AOD, Adware/SpySheriff, Downloader.Generic.ITN, MalwareScope.Downloader.Harnig.2, TR/Dldr.Time2Pay.C, Troj/Harnig-A, Trojan.DownLoader.5264, Trojan.Downloader.Harnig.2, Trojan/Dldr.Time2Pay.C, TrojanDownloader.Small.bfy, Trojan- Downloader.Win32.Small.bfy, W32/Downloader, Win32/TrojanDownloader.Small.AOD Fecha: 14/nov/05 Plataforma: Windows 32-bit Tamaño: 3,817 bytes (FSG) Se trata de un caballo de Troya del tipo downloader (descargador de archivos), que al ejecutarse descarga, sin el conocimiento del usuario, determinados archivos de un sitio Web. Se conecta a las siguientes direcciones de Internet: http:://iframe????.biz/dl/dl.php?adv=adv661 http:://iframe????.biz/progs/kl.txt Descarga de allí, los siguientes archivos: hosts.txt paytime.txt secure32.php it.txt tool5.txt tool4.txt tool3.txt tool1.txt toolbar.txt degbes.txt poland.txt de.txt tool2.txt kl.txt Dichos archivos son copiados en la carpeta de Windows (C:\WINDOWS), y otras ubicaciones, con los siguientes nombres: hosts paytime.exe secure32.html countrydial.exe tool5.exe tool4.exe tool3.exe tool1.exe toolbar.exe degbes.exe poland.exe de.exe tool2.exe kl.exe Algunos de estos archivos son otros troyanos del tipo backdoor (acceso por puerta trasera). También crea los siguientes archivos: ms1.exe uniq ms1.txt Crea la siguiente entrada en el registro: HKCU\Software\Microsoft\Windows\CurrentVersion adv661 = "adv661" El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P. Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios. Otros malwares también podrían descargarlo y ejecutarlo en un sistema infectado. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion 3. Haga clic en la carpeta "CurrentVersion" y en el panel de la derecha, borre la siguiente entrada: adv661 = "adv661" 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. 6. Reinicie su computadora. * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Padodor.BC. Roba información, se propaga por LSASS _____________________________________________________________ http://www.vsantivirus.com/padodor-bc.htm Nombre: Padodor.BC Nombre NOD32: Win32/Padodor.BC Tipo: Caballo de Troya Alias: Padodor.BC, Win32/Padodor.BC Fecha: 11/nov/05 Plataforma: Windows 32-bit Caballo de Troya que se propaga utilizando la vulnerabilidad LSASS descripta en el siguiente boletín de seguridad de Microsoft: MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm Cuando se ejecuta, crea los siguientes archivos: c:\boot.sys c:\windows\system32\[nombre al azar].dll c:\windows\system32\[nombre al azar].dll c:\windows\system32\[nombre al azar].exe c:\windows\system32\[nombre al azar].exe c:\windows\system32\drivers\ndisrd.sys Uno de los archivos .EXE es la copia del propio troyano, y todos los demás corresponden a variantes de otros troyanos que también se ejecutarán en el equipo infectado (Spy.Qukart y Padobot). El troyano crea las siguientes entradas en el registro para su ejecución automática: HKCR\CLSID \{????????-????-????-????-????????????}\InprocServer32 (Predeterminado) = "c:\windows\system32\[nombre].dll" HKCU\Software\Microsoft\Windows ifc = "0x00000000" HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\ShellServiceObjectDelayLoad [valor al azar] = {????????-????-????-????-????????????} Donde {????????-????-????-????-????????????} es un valor de identificación Class ID (clave CLSID). Para propagarse, el troyano selecciona direcciones IP al azar, y envía solicitudes al puerto TCP 445. Si la máquina remota responde, el troyano intenta lanzar su código en dicho equipo explotando la vulnerabilidad LSASS, siempre que no se ha instalado el parche respectivo, o el equipo no esté protegido por un firewall. A su vez, el troyano intentará finalizar la ejecución de numerosos ejecutables relacionados con antivirus y cortafuegos en el equipo infectado. También intentará registrar la actividad del usuario en el Internet Explorer, y almacenar toda la información obtenida relacionada con los sitios visitados y datos ingresados. Esta información podrá ser enviada a un usuario remoto. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * IMPORTANTE: Instalar el siguiente parche si aún no lo ha hecho: MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el editor del registro, seleccione el menú desplegable "Edición", "Buscar", y escriba en la ventana "Buscar" que será desplegada, los nombres de los archivos .DLL detectados en el punto 3 del ítem "Antivirus" (debe realizar este procedimiento uno por vez, con cada DLL detectado). 3. Haga clic en el botón "Buscar siguiente" y tome nota de la clave CLSID que aparezca. Luego borre todas las entradas relacionadas. Por ejemplo, si aparece una entrada como ésta: HKEY_CLASSES_ROOT \CLSID \{????????-????-????-????-????????????} \InprocServer32 (Predeterminado) = "c:\windows\system32\[nombre DLL] 4. Tome nota del valor de la carpeta {????????-????-????- ????-????????????}, donde los ???? representan caracteres hexadecimales. 5. En el editor del registro haga clic en "Mi PC" de la ventana de la izquierda. 6. Seleccione el menú desplegable "Edición", "Buscar", y escriba en la ventana "Buscar" que será desplegada la clave CLSID obtenida en el punto 3: {????????-????-????-????-????????????} 7. Haga clic en el botón "Buscar siguiente" y borre todas las carpetas y entradas que se llamen o contengan la clave {????????-????-????-????-????????????}, donde los ???? representan caracteres hexadecimales, como por ejemplo: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \ShellServiceObjectDelayLoad [valor al azar] = {????????-????-????-????-????????????} En este caso, borre "[valor al azar] = {????????-????-????- ????-????????????}". 8. Si es necesario, reitere todo el procedimiento anterior, con el segundo DLL identificado en el punto 3 del ítem "Antivirus". 9. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows 10. Haga clic en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: ifc = "0x00000000" 11. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 12. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1956 Año 9, martes 15 de noviembre de 2005