Mostrando mensaje 1010     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1958 Año 9, jueves 17 de noviembre de 2005 Fecha: Jueves, 17 de Noviembre, 2005  05:53:46 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1958 Año 9, jueves 17 de noviembre de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - ActiveX vulnerable en desinstalación de Sony XCP 2 - Denegación de servicio en Windows Plug and Play 3 - Sober.T. Desactiva la red, finaliza antivirus 4 - Sober.S. Desactiva la red, finaliza antivirus _____________________________________________________________ 1 - ActiveX vulnerable en desinstalación de Sony XCP _____________________________________________________________ http://www.vsantivirus.com/vul-codesupport-161105.htm ActiveX vulnerable en desinstalación de Sony XCP Por Angela Ruiz angela@videosoft.net.uy Ha sido reportada una vulnerabilidad en un control ActiveX usado para la desinstalación del First4Internet XCP (usado por Sony-BMG), que podría ser explotada por un atacante remoto para comprometer el sistema del usuario. El problema se debe a un error de diseño en el sitio web desde donde se descargaba el desinstalador del controvertido rootkit de Sony. La vulnerabilidad es causada por el control "CodeSupport.ocx", que se instala a través del Internet Explorer, cuando el usuario desinstala el software de protección anticopia XCP DRM de Sony, visitando el sitio web del vendedor. Cuando se llenaba el formulario para recibir una copia del desinstalador, el sitio instala dicho control, creado por First4Internet. Este control puede permanecer en el sistema aún después que se ha abandonado la página de Sony. (NOTA: La opción es UNINSTALL REQUESTS, pero actualmente no está disponible) Este control ActiveX es marcado como "safe-for-scripting" (seguro para scripting), soportando varios métodos potencialmente peligrosos como "RebootMachine", "InstallUpdate" e "IsAdministrator", lo que permite que pueda ser explotado por cualquier sitio web malicioso para instalar código de forma arbitraria en el equipo afectado. Existen códigos que pueden ser usados como exploits, lo que convierte a este problema en algo crítico. Su equipo puede ser vulnerable, solo si descargó la herramienta de desinstalación de Sony desde determinada página. * Solución: Borrar el control ActiveX vulnerable del sistema. Si usted no utilizó el desinstalador original de la herramienta de protección contra copias de Sony, entonces está a salvo de esta vulnerabilidad. Los enlaces a las siguientes herramientas de desinstalación, no tienen el control ActiveX mencionado: Eliminación del rootkit XCP DRM de Sony-BMG http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm Si utilizó un formulario en la página de cp.sonybmg.com, o tiene dudas sobre el método usado por el desinstalador para llegar a su PC, igualmente descargue el siguiente archivo de registro de nuestro sitio, y aplíquelo haciendo doble clic sobre él: http://www.videosoft.net.uy/sony-codesupportocx-killbit.reg Esto creará el "kill-bit" al ActiveX vulnerable, impidiendo su ejecución. El "kill-bit" es un determinado valor (1024), que se aplica a la entrada "Compatibility Flags" del ActiveX correspondiente, impidiendo que dicho control se instale o ejecute. Otra forma de eliminar el ActiveX vulnerable, es buscar y borrar el archivo "CodeSupport.ocx". NOTA VSA: Si intenta ingresar al formulario en la página de Sony que descarga el ActiveX mencionado, y está utilizando Windows XP SP2, una advertencia de ventana emergente le será mostrada con el siguiente texto: Este sitio puede que requiera el siguiente control de ActiveX: 'Software Update Helper Cabinet (First 4 Internet)' de 'First 4 Internet Ltd'. Haga clic aquí para instalar... * Créditos: Muzzy, J. Alex Halderman, and Ed Felten. * Más información: Sony CD First4Internet XCP Uninstallation ActiveX Control Vulnerability http://secunia.com/advisories/17610/ Sony CD First4Internet XCP Uninstallation ActiveX Vulnerabilities http://www.frsirt.com/english/advisories/2005/2454 Sony's Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs http://www.freedom-to-tinker.com/?p=927 Muzzy's research about Sony's XCP DRM system http://hack.fi/~muzzy/sony-drm/ Sony CD First4Internet XCP DRM Software Security Issue http://secunia.com/advisories/17408/ * Relacionados: ¿Está usted infectado con el rootkit de Sony-BMG? http://www.vsantivirus.com/14-11-05.htm Eliminación del rootkit XCP DRM de Sony-BMG http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm Tecnología anticopia de Sony compromete la seguridad http://www.vsantivirus.com/vul-xcp-sony.htm IRCBot.PH. Utiliza la tecnología anticopia de Sony http://www.vsantivirus.com/ircbot-ph.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Denegación de servicio en Windows Plug and Play _____________________________________________________________ http://www.vsantivirus.com/vul-plug-and-play-151105.htm Denegación de servicio en Windows Plug and Play Por Angela Ruiz angela@videosoft.net.uy Se ha reportado una nueva vulnerabilidad en la implementación del servicio de Microsoft Windows Plug and Play (PnP). La misma puede provocar una denegación de servicio (DoS), ocasionando que el sistema deje de responder. El problema se origina en la interpretación de ciertas solicitudes mal construidas, que pueden dar como resultado un consumo excesivo de la memoria virtual. Se ha confirmado que el problema afecta a Windows 2000 (hasta SP3 inclusive). No se conoce al momento actual, si otras versiones de Windows son o no vulnerables. El código de un exploit para esta vulnerabilidad se ha hecho público y está circulando en Internet. * Software afectado: - Microsoft Windows 2000 Server SP3 - Microsoft Windows 2000 Server SP2 - Microsoft Windows 2000 Server SP1 - Microsoft Windows 2000 Server - Microsoft Windows 2000 Professional SP3 - Microsoft Windows 2000 Professional SP2 - Microsoft Windows 2000 Professional SP1 - Microsoft Windows 2000 Professional - Microsoft Windows 2000 Datacenter Server SP3 - Microsoft Windows 2000 Datacenter Server SP2 - Microsoft Windows 2000 Datacenter Server SP1 - Microsoft Windows 2000 Datacenter Server - Microsoft Windows 2000 Advanced Server SP3 - Microsoft Windows 2000 Advanced Server SP2 - Microsoft Windows 2000 Advanced Server SP1 - Microsoft Windows 2000 Advanced Server * Soluciones: No existe una solución o parche oficial al momento de publicarse esta alerta. * Relacionados: Microsoft Windows Plug and Play Denial of Service Vulnerability http://www.securityfocus.com/bid/15460/info * Créditos: Winny Thomas <winnymthomas@yahoo.com> (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Sober.T. Desactiva la red, finaliza antivirus _____________________________________________________________ http://www.vsantivirus.com/sober-t.htm Nombre: W32/Sober.T Nombre NOD32: Win32/Sober.T Tipo: Gusano de Internet Alias: Sober.T, DR/Sober.AA, Dropper/Sober.AA, Email- Worm.Win32.Sober.z, Email-Worm.Win32.Sober.Z, I-Worm.Sober.z, I-Worm/Sober.CD, W32/SOBER.AC-dr, W32/Sober.AG.worm, W32/Sober.gen@MM, W32/Sober.x.dr, W32/Sober.Y@mm, W32/Sober.Z@mm, W32/Sober-X, Win32.HLLM.Sober, Win32.Sober.AA@mm, Win32.Sober.V, Win32/Sober.T, Win32/Sober.V!Worm, Win32:Sober-Z, Worm.Sober.T4, Worm.Sober.T-9 Fecha: 15/nov/05 Plataforma: Windows 32-bit Tamaño: varios, 131,104 bytes (PACKMAN) Escrito en Microsoft Visual Basic, este gusano se propaga por correo electrónico, o es enviado en forma de spam. Su tamaño varía, porque agrega basura a su código cada vez que se instala. Los mensajes tienen asuntos y textos en inglés o alemán. Utiliza su propio motor SMTP, de modo que no depende del cliente utilizado por la víctima para enviarse. El envío masivo de mensajes, afecta notoriamente el rendimiento de la conexión a Internet del usuario infectado. Cuando se ejecuta en Windows XP Service Pack 2, el gusano impide que el sistema infectado se pueda conectar a una red. También finaliza la ejecución de la herramienta de eliminación de software malintencionado de Microsoft, impidiendo que la misma se ejecute. Intenta finalizar la ejecución de varios antivirus. El remitente siempre es falso, y es seleccionado al azar de la lista de direcciones a las que el gusano se envía. El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones: .at .ch .de .li También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés. Mensajes en inglés: De: [remitente falso] Asunto: Password Confirmation Texto del mensaje: Your password has been changed successfully! Your new password is packed and safe in the attachment Auto-MailSystem: #B20F3A7299A1000FC2 Datos adjuntos: packed-password_text.zip Mensaje en alemán: De: [remitente falso] Asunto: Betr: Passwort & Account Daten Texto del mensaje: Ihre Account bzw. Passwort aenderung wurde nun vorgenommen. Ihre neuen Zugangsdaten befinden sich Ge-Packt & Gesichert im Anhang! AutoMailSystem: #HF011BACC091F Datos adjuntos: auto-mail_Daten.zip En ambos casos, el archivo .ZIP contiene el ejecutable del gusano. El gusano solo se ejecuta cuando el usuario hace doble clic sobre el adjunto. Cuando ello sucede, se muestra una falsa ventana de error con el siguiente texto: WinZip Error in Packed Data Header [ OK ] Mientras ello sucede, el gusano crea las carpetas "ConnectionStatus\Microsoft" dentro de la carpeta de Windows, y se copia allí con el siguiente nombre: c:\windows\ConnectionStatus\Microsoft\SERVICES.EXE También crea el siguiente archivo: c:\windows\HHBVEEED.EXE Además crea los siguientes archivos dentro de la carpeta del sistema en Windows: c:\windows\system32\bbvmwxxf.hml c:\windows\system32\gdfjgthv.cvq c:\windows\system32\langeinf.lin c:\windows\system32\nonrunso.ber c:\windows\system32\rubezahl.rub c:\windows\system32\runstop.rst NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). Crea las siguientes entradas para auto ejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run _WinCheck = "c:\windows\ConnectionStatus\Microsoft\services.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WinCheck = "c:\windows\ConnectionStatus\Microsoft\services.exe" El gusano utiliza su propio motor SMTP (Simple Mail Transfer Protocol), para enviarse en forma masiva. Obtiene las direcciones de archivos con las siguientes extensiones: .abc .abd .abx .adb .ade .adp .adr .asp .bak .bas .cfg .cgi .cls .cms .csv .ctl .dbx .dhtm .doc .dsp .dsw .eml .fdb .frm .hlp .imb .imh .imh .imm .inbox .ini .jsp .ldb .ldif .log .mbx .mda .mdb .mde .mdw .mdx .mht .mmf .msg .nab .nch .nfo .nsf .nws .ods .oft .php .phtm .pl .pmr .pp .ppt .pst .rtf .shtml .slk .sln .stm .tbb .txt .uin .vap .vbs .vcf .wab .wsh .xhtml .xls .xml Las direcciones seleccionados, son las que tengan los siguientes dominios: .at .com .ch .de .net Evita aquellas direcciones que contengan las siguientes cadenas en su nombre: .dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @msn @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock -dav detection domain. emsisoft ewido. freeav free-av ftp. gold-certs host. icrosoft ipt.aol law2 mailer-daemon mantec me@ mozilla msdn. mustermann@ nlpmail01. nothing reciver@ secure smtp- somebody someone spybot sql. subscribe t-dialin time t-ipconnect user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname Utiliza cualquiera de los siguientes servidores SMTP para enviar los mensajes infectados: mail.ainet.at mail.arcor.de mail.bigpond.com mail.eplus-online.de mail.genion.de mail.imail.de mail.optusnet.com.au mail.ozemail.com.au mail.restena.lu mail.salzburg-online.at mail.tiscali.ch mail.tutopia.com mail.verizon.net.do smtp.1und1.de smtp.ameritech.yahoo.com smtp.cityweb.de smtp.comcast.net smtp.compuserve.de smtp.fastwebnet.it smtp.omantel.net.om smtp.planet-interkom.de smtp.pop.debitel.net smtp.tele2 smtp.tiscali.de smtp.worldonline.de smtpauth.bluewin.ch smtpauth.earthlink.net Cuando se ejecuta en Windows XP SP2, el gusano modifica el archivo TCPIP.SYS en c:\windows\system32\drivers, para impedir la conexión a una red. El archivo TCPIP.SYS queda inutilizable. El gusano monitorea constantemente la lista de procesos activos. Si en dicha lista aparece el archivo MRT.EXE, impide su ejecución. Este archivo corresponde a la herramienta de eliminación de software malintencionado de Microsoft. También intenta finalizar cualquier aplicación cuyo nombre contenga partes de estas cadenas de caracteres: avwin. brfix fixsob fxsob gcas gcip giantanti guardgui. hijack inetupd. microsoftanti nod32. nod32kui sober s-t-i-n stinger El gusano mantiene activos varios procesos en memoria para permanecer siempre residente. Si se elimina cualquiera de ellos, los demás crean un nuevo proceso. * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Cómo recuperar TCPIP.SYS (solo Windows XP SP2): IMPORTANTE: Para recuperar el archivo TCPIP.SYS en Windows XP SP2, siga las instrucciones del siguiente enlace: Cómo recuperar archivos borrados (98, Me, XP) http://www.vsantivirus.com/faq-sfc.htm NOTA: TCPIP.SYS debe quedar en la siguiente ubicación: C:\WINDOWS\system32\drivers\tcpip.sys * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Sober.S. Desactiva la red, finaliza antivirus _____________________________________________________________ http://www.vsantivirus.com/sober-s.htm Nombre: W32/Sober.S Nombre NOD32: Win32/Sober.S Tipo: Gusano de Internet Alias: Sober.S, Email-Worm.Win32.Sober.x, Email- Worm.Win32.Sober.X, I-Worm.Sober.x, I-Worm/Sober.W, W32/Sober.AF.worm, W32/Sober.GEN@MM, W32/Sober.w.dr, W32/Sober.X@mm, W32/Sober.X-mm, W32/Sober.Y@mm, W32/Sober-V, Win32.HLLM.Sober, Win32.Sober.U, Win32.Sober.Y@mm, Win32/Sober.S, Win32/Sober.U!Worm, Worm.Sober.T3, Worm.Sober.T-8 Fecha: 15/nov/05 Actualizado: 17/nov/05 Plataforma: Windows 32-bit Tamaño: varios, 140,064 bytes (PETITE) Escrito en Microsoft Visual Basic, este gusano se propaga por correo electrónico, o es enviado en forma de spam. Su tamaño varía, porque agrega basura a su código cada vez que se instala. Los mensajes tienen asuntos y textos en inglés o alemán. Utiliza su propio motor SMTP, de modo que no depende del cliente utilizado por la víctima para enviarse. El envío masivo de mensajes, afecta notoriamente el rendimiento de la conexión a Internet del usuario infectado. Cuando se ejecuta en Windows XP Service Pack 2, el gusano impide que el sistema infectado se pueda conectar a una red. También finaliza la ejecución de la herramienta de eliminación de software malintencionado de Microsoft, impidiendo que la misma se ejecute. Intenta finalizar la ejecución de varios antivirus. El remitente siempre es falso, y es seleccionado al azar de la lista de direcciones a las que el gusano se envía. El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones: .at .ch .de .li También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés. Mensajes en inglés: De: [remitente falso] Asunto: Your eMail Password Texto del mensaje: Thanks for your registration! Your registration will not be complete until you re-confirm it. Please read the following agreement. If you accept it, click the "accept" to complete your registration! Datos adjuntos: Accept_e-Text.zip Mensaje en alemán: De: [remitente falso] Asunto: Wichtig: Meine neue Mail Adresse! Texto del mensaje: hi du,,, ike bin et Musste mir leider ne neue Mail-Addy machen. Meine alte wird nur noch zu gemuellt mit Spam. Habe dir auch gleich die Datei mitgeliefert die du immer haben wolltest. Ist aber ziemlich per.... Ok, man sieht sich Datos adjuntos: Mail-Datei.zip En ambos casos, el archivo .ZIP contiene el ejecutable del gusano. El gusano solo se ejecuta cuando el usuario hace doble clic sobre el adjunto. Cuando ello sucede, se muestra una falsa ventana de error con el siguiente texto: MS Outlook Error in Outlook-Key [ OK ] Mientras ello sucede, el gusano crea las carpetas "ConnectionStatus\Microsoft" dentro de la carpeta de Windows, y se copia allí con el siguiente nombre: c:\windows\ConnectionStatus\Microsoft\SERVICES.EXE También crea el siguiente archivo: c:\windows\VDFGVXVY.EXE Además crea los siguientes archivos dentro de la carpeta del sistema en Windows: c:\windows\system32\bbvmwxxf.hml c:\windows\system32\gdfjgthv.cvq c:\windows\system32\langeinf.lin c:\windows\system32\nonrunso.ber c:\windows\system32\rubezahl.rub c:\windows\system32\runstop.rst NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.). Crea las siguientes entradas para auto ejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run _WinCheck = "c:\windows\ConnectionStatus\Microsoft\services.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WinCheck = "c:\windows\ConnectionStatus\Microsoft\services.exe" El gusano utiliza su propio motor SMTP (Simple Mail Transfer Protocol), para enviarse en forma masiva. Obtiene las direcciones de archivos con las siguientes extensiones: .abc .abd .abx .adb .ade .adp .adr .asp .bak .bas .cfg .cgi .cls .cms .csv .ctl .dbx .dhtm .doc .dsp .dsw .eml .fdb .frm .hlp .imb .imh .imh .imm .inbox .ini .jsp .ldb .ldif .log .mbx .mda .mdb .mde .mdw .mdx .mht .mmf .msg .nab .nch .nfo .nsf .nws .ods .oft .php .phtm .pl .pmr .pp .ppt .pst .rtf .shtml .slk .sln .stm .tbb .txt .uin .vap .vbs .vcf .wab .wsh .xhtml .xls .xml Las direcciones seleccionados, son las que tengan los siguientes dominios: .at .com .ch .de .net Evita aquellas direcciones que contengan las siguientes cadenas en su nombre: .dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @msn @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock -dav detection domain. emsisoft ewido. freeav free-av ftp. gold-certs host. icrosoft ipt.aol law2 mailer-daemon mantec me@ mozilla msdn. mustermann@ nlpmail01. nothing reciver@ secure smtp- somebody someone spybot sql. subscribe t-dialin time t-ipconnect user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname Utiliza cualquiera de los siguientes servidores SMTP para enviar los mensajes infectados: mail.ainet.at mail.arcor.de mail.bigpond.com mail.eplus-online.de mail.genion.de mail.imail.de mail.optusnet.com.au mail.ozemail.com.au mail.restena.lu mail.salzburg-online.at mail.tiscali.ch mail.tutopia.com mail.verizon.net.do smtp.1und1.de smtp.ameritech.yahoo.com smtp.cityweb.de smtp.comcast.net smtp.compuserve.de smtp.fastwebnet.it smtp.omantel.net.om smtp.planet-interkom.de smtp.pop.debitel.net smtp.tele2 smtp.tiscali.de smtp.worldonline.de smtpauth.bluewin.ch smtpauth.earthlink.net Cuando se ejecuta en Windows XP SP2, el gusano modifica el archivo TCPIP.SYS en c:\windows\system32\drivers, para impedir la conexión a una red. El archivo TCPIP.SYS queda inutilizable. El gusano monitorea constantemente la lista de procesos activos. Si en dicha lista aparece el archivo MRT.EXE, impide su ejecución. Este archivo corresponde a la herramienta de eliminación de software malintencionado de Microsoft. También intenta finalizar cualquier aplicación cuyo nombre contenga partes de estas cadenas de caracteres: avwin. brfix fixsob fxsob gcas gcip giantanti guardgui. hijack inetupd. microsoftanti nod32. nod32kui sober s-t-i-n stinger El gusano mantiene activos varios procesos en memoria para permanecer siempre residente. Si se elimina cualquiera de ellos, los demás crean un nuevo proceso. * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Cómo recuperar TCPIP.SYS (solo Windows XP SP2): IMPORTANTE: Para recuperar el archivo TCPIP.SYS en Windows XP SP2, siga las instrucciones del siguiente enlace: Cómo recuperar archivos borrados (98, Me, XP) http://www.vsantivirus.com/faq-sfc.htm NOTA: TCPIP.SYS debe quedar en la siguiente ubicación: C:\WINDOWS\system32\drivers\tcpip.sys * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Publicado anteriormente: VSantivirus No. 1957 Año 9, miércoles 16 de noviembre de 2005 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1958 Año 9, jueves 17 de noviembre de 2005