[B]W32/Sumom.B. Se propaga a través del MSN Messenger[/B]
Nombre: W32/Sumom.B Tipo: Gusano de Internet Alias: Sumom.B, Win32/Sumom.B, WORM_FATSO.B Fecha: 8/mar/05 Plataforma: Windows 32-bit Tamaño: 36,352 bytes (PESpin) Este gusano se propaga a través de MSN Messenger. Al ejecutarse, crea algunas de las siguientes copias de si mismo en los directorios C:\WINDOWS y C:\WINDOWS\SYSTEM del equipo infectado: dsm.exe msmpatch.exe svosm.exe sysup.exe NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). El gusano también crea copias de si mismo en el directorio raíz de la unidad C: con alguno de los siguientes nombres: Crazy Japanese man kicks crazy frog!.pif Crazy.Html dsm.exe Dumb Looking Goth Chick.pif Funny Hitler parody!.pif HillBilly Chick lol.pif Hot Blonde!.pif Me drunk at The Sea!.pif Me Love You Long Time.pif Me pic.pif Modelling Her New Bikini.pif My birthday pic!.pif One Eye Granny pic!.pif Punk Lives! lol.pif Los atributos de todos los archivos copiados, pueden estar como ocultos (+H), no siendo visibles para un usuario con la configuración de Windows para ver archivos por defecto. Modifica las siguientes entradas para ejecutarse en cada reinicio del sistema: HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Valor al azar] = [archivo] HKCU\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer\Run [Valor al azar] = [archivo] HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices [Valor al azar] = [archivo] HKLM\Software\Microsoft\Windows \CurrentVersion\policies\Explorer\Run [Valor al azar] = [archivo] HKLM\Software\Microsoft\Windows\CurrentVersion\Run [Valor al azar] = [archivo] Donde [Valor al azar] puede ser alguno de los siguientes: AvSer DsmSer rollbk Y [archivo], puede tener uno de los siguientes nombres: dsm.exe msmpatch.exe svosm.exe sysup.exe El gusano libera un documento HTML en el directorio raíz de la unidad C:, el cuál es visualizado utilizando el navegador por defecto del equipo infectado: c:\crazy.html Cuando ello ocurre, se intenta una conexión a Internet para actualizar un contador de la cantidad de infecciones, descargándose una imagen en formato JPG del siguiente servidor remoto: [url]http://www.tur????orce3d.com/bilder[/url] /annoying/annoying_desktop_2_1024x768.jpg Donde "annoying_desktop_2_1024x768.jpg" es la siguiente imagen: http://www.vsantivirus.com/sumom.jpg Modifica el archivo HOSTS para que los siguientes sitios no puedan ser accedidos desde la máquina infectada: avp .com ca .com customer .symantec .com dispatch .mcafee .com download .mcafee .com f-secure .com grisoft .com kaspersky .com kaspersky-labs .com liveupdate .symantec .com liveupdate .symantecliveupdate .com mast .mcafee .com mcafee .com my-etrust .com nai .com networkassociates .com rads .mcafee .com sandbox .norman .no secure .nai .com securityresponse .symantec .com sophos .com symantec .com trendmicro .com uk .trendmicro-europe .com update .symantec .com updates .symantec .com us .mcafee .com viruslist .com www .avp .com www .ca .com www .f-secure .com www .grisoft .com www .kaspersky .com www .mcafee .com www .my-etrust .com www .nai .com www .networkassociates .com www .pandasoftware .com www .sophos .com www .symantec .com www .trendmicro .com www .viruslist .com El gusano cambia el nivel de seguridad de Windows, modificando las siguientes entradas del registro para deshabilitar las opciones que permiten restaurar el sistema automáticamente: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore DisableConfig = "0" HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore DisableSR = "0" |
Intenta finalizar los siguientes procesos, pertenecientes a conocidos antivirus y cortafuegos:
apvxdwin.exe atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avconsol.exe avengine.exe avsynmgr.exe avwupd32.exe avxquar.exe bawindo.exe blackd.exe ccapp.exe ccevtmgr.exe ccproxy.exe ccpxysvc.exe cfiaudit.exe cmd.exe defwatch.exe drwebupw.exe escanh95.exe escanhnt.exe firewall.exe frameworkservice.exe icssuppnt.exe icsupp95.exe luall.exe lucoms~1.exe mcagent.exe mcshield.exe mcupdate.exe mcvsescn.exe mcvsrte.exe mcvsshld.exe msconfig.exe msdev.exe navapsvc.exe navapw32.exe nisum.exe nopdb.exe nprotect.exe nupgrade.exe ollydbg.exe outpost.exe pavfires.exe pavproxy.exe pavsrv50.exe peid.exe petools.exe regedit.exe reshacker.exe rtvscan.exe rulaunch.exe savscan.exe shstat.exe sndsrvc.exe symlcsvc.exe taskmgr.exe Update.exe updaterui.exe vpupd.exe vshwin32.exe vsstat.exe vstskmgr.exe w32dasm.exe winhex.exe wscript.exe El gusano también cierra cualquier ventana, cuyo título incluya alguna de las siguientes cadenas: Adware Alerts Autostarted Benign Blocker Bullguard Buster Center -Cillin Cleaner Command Destroy Detection Doctor Earthlink Editor Eliminate Fight Filter Firewall Fixing Hunter Kerio Liveupdate Malware Malwhere Mcafee Netcop Nod32 Norton Panda Process!A Prompt Protector Registry Removal Restore Sandbox Secure Security Sophos Spybot Spyware Stopper Sweeper Trend Update Vcatch Virus Watch El gusano se propaga por MSN Messenger enviando un mensaje a todos los contactos que se encuentren en línea con alguno de los siguientes archivos (una copia del propio gusano): Crazy Japanese Man Kicks Crazy Frog!.pif Dumb Looking Goth Chick.pif Funny Hitler Parody!.pif Funny Hitler Parody.pif Hillbilly Chick Lol.pif Hot Blonde!.pif Me Drunk At The Sea!.pif Me Love You Long Time.pif Me Pic.pif Modelling Her New Bikini.pif My Birthday Pic!.pif One Eye Granny Pic!.pif Punk Lives! Lol.pif Si el usuario hace clic en el archivo enviado, se produce la ejecución del gusano. Reparación manual Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes: AvSer DsmSer rollbk 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Explorer \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes: AvSer DsmSer rollbk 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes: AvSer DsmSer rollbk 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \policies \Explorer \Run 9. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes: AvSer DsmSer rollbk 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 11. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre todas las entradas de la siguiente lista que estén presentes: AvSer DsmSer rollbk 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Policies \Microsoft \Windows NT \SystemRestore 13. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DisableConfig = 0 14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Policies \Microsoft \Windows NT \SystemRestore 15. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DisableSR = 0 16. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. Información adicional Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. |
[B]Descubiertas nuevas vulnerabilidades críticas en Internet Explorer y Outlook[/B]
Unas vulnerabilidades altamente críticas han sido descubiertas en el navegador de Microsoft Internet Explorer y Outlook, según la compañía eEye Digital Security. Las vulnerabilidades permiten ejecutar código remoto sin que el usuario se entere, dijo eEye. Afortunadamente, las vulnerabilidades descubiertas no permiten que se propague para infiltrar en otro sistema. "Si un usuario es engañado a visitar una página con código dañino, puede ser infectado sólo por navegar a través de un anuncio," dijo el ingeniero de seguridad de eEye. eEye ha notificado a Microsoft las vulnerabilidades hace dias atrás, y está dando tiempo al gigante del software para lanzar un parche lo antes posible, antes de hacer públicas que versiones de los programas están afectadas. Todavía, por suerte, no se ha detectado que se esté aprovechando de ésta vulnerabilidad. |
El Sober prepara su nuevo ataque
El lunes puede ser un mal día, aseguran algunos expertos. Y ello se debe a la acción de una de las últimas variantes del gusano Sober, que tiene planeada para ese día la descarga y ejecución de un nuevo código, aún desconocido. Sober es un gusano que se propaga en mensajes electrónicos generalmente en alemán o en inglés. La versión "P" (Q para otros fabricantes), poseía una carga maliciosa oculta; la de descargar y ejecutar un componente troyano, que le permitió al autor tomar el control de todas las máquinas infectadas y utilizarlas como lanzaderas de spam (correo basura). El resultado, ha sido una semana con un notorio aumento de correo no solicitado llegando a los buzones de todo el mundo. Los mensajes no poseen carga maliciosa (ni adjuntos ni troyanos ocultos), solo textos y enlaces de propaganda nazi. Pero esta rutina se desactiva el 23 de mayo, momento en el cuál el propio gusano intentará ejecutar y descargar un nuevo archivo de sitios aún desconocidos. Hasta el momento se ignora que clase de archivo o que tipo de acciones podría tomar el mismo. Podría ser otro troyano u otra variante del Sober. O podría ser usado para lanzar ataques de denegación de servicio a sitios de Internet, o llevar a cabo cualquier otra acción maliciosa. Por la cantidad de spam monitoreado en los últimos días, es evidente que existe una gran cantidad de máquinas infectadas, las que actúan como zombis, creando lo que se denomina una "botnet", o sea una extensa red que actúa como un autómata ante las instrucciones de su creador. Lo más preocupante por el momento, es la forma en que el autor del Sober ha ocultado la fuente del archivo que descargará el próximo lunes 23. Típicamente, los gusanos esconden en su código las direcciones IP a las que se conectan para descargar nuevos componentes, y los nombres de éstos. Normalmente es solo cuestión de tiempo para los investigadores descifrar este código y tomar las medidas para clausurar los sitios involucrados o hacer borrar los archivos, de común acuerdo con los proveedores de Internet. Sin embargo, Sober.P utiliza un algoritmo mucho más sofisticado, de tal manera que la dirección final, estará formada a partir de valores generados casi al azar. Cada 60 minutos, una especie de firma creada por la hora, minutos, segundos y fecha actual, sirve de base para crear otros valores de forma randómica. Como el autor del gusano conoce muy bien este algoritmo, puede utilizar los datos creados para finalmente generar una URL determinada en uno de cinco diferentes servicios de hosting que operan en Alemania y Austria. Él podría ya haber registrado esta URL en una o varias compañías de hospedaje, para luego subir al nuevo sitio el código que sería descargado y ejecutado este lunes por las máquinas ya infectadas. El cambio cada una hora de los valores generados para identificar la dirección de descarga, hace que el ataque que pueda producirse este lunes tenga casi una completa impunidad. Aunque algunos lo han mencionado, podría decirse que es prácticamente imposible que los cinco servidores involucrados dejen de aceptar nuevos registros o de activar nuevos sitios en estos días. El mayor problema aquí, es la cantidad de usuarios ya infectados que existen. Estos usuarios no utilizan antivirus o no los actualizan. Sober.P, como todos las otras variantes del gusano, fue identificada desde el comienzo por la heurística avanzada de NOD32. La detección proactiva de este antivirus, ha protegido siempre a sus usuarios aún antes de haberse creado la firma que lo identifica. Este tipo de protección es hoy día algo fundamental para detener esta clase de amenazas, debido a que las mismas pueden variar de forma y contenido en cuestión de segundos, y el tiempo necesario para que un fabricante genere la actualización y la distribuya, aún cuando hablemos de minutos, es demasiado grande teniendo en cuenta la velocidad de propagación de un gusano. |
W32/Niya.A. Infecta archivos, borra inicio disco duro
Nombre: W32/Niya.A Nombre NOD32: Win32/Niya.A Tipo: Virus Alias: Niya, Niya.A, PE_YAMI.A, Virus.Win32.Niya.a, W32.Yami.A, W32/NGVCK.d, Win32.Yang.A, Win32/Niya.A Fecha: 21/may/05 Plataforma: Windows XP [b]Tamaño: 3,029 bytes (los archivos infectados no varían su tamaño)[/b] Virus que infecta archivos del tipo Windows Portable Executable (PE) en Windows XP. Los archivos infectados pueden quedar corruptos. También sobrescribe los primeros 63 sectores del disco duro, haciendo que el disco no pueda iniciarse. Se inyecta a si mismo en la memoria kernel de Windows y monitoriza toda actividad relacionada con la apertura de archivos. El virus no aumenta el tamaño de los archivos infectados, ya que utiliza espacios no ocupados dentro del ejecutable. Cuando se ejecuta, verifica que el sistema instalado sea Windows XP. Si es cualquier otra versión de Windows, incluidos Windows XP SP1 o Windows XP SP2, el virus no realiza ninguna acción. Si es Windows XP, se instala y ejecuta en modo kernel, de modo de engancharse al servicio del sistema y monitorear toda apertura de archivos. Si el archivo abierto es un .EXE intenta infectarlo. No infecta archivos dentro de la carpeta del sistema de Windows XP (System32). Tampoco aquellos .EXE más chicos de 18 Kb o mayores de 4 gigas. Inserta como marca de infección las letras "YM" antes del cabezal del archivo infectado. No infecta archivos que ya tengan dicha marca. También examina la memoria CMOS en busca de ciertos valores a los efectos de ejecutar o no su rutina de sobrescribir los primeros sectores del disco duro con el texto YM KILL YOU. Si esto ocurre, el disco no podrá bootear en el próximo reinicio del equipo. El virus no se propaga por si mismo, pero puede llegar a nuestro PC al ser copiado un archivo infectado en el sistema. Estos archivos pueden ser descargados intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P. Reparación manual IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los sectores sobrescritos del disco duro, dependerá del daño causado por el virus desde el momento de ocurrida la infección, hasta el momento de su detección. En ese caso se recomienda acudir a un servicio técnico especializado a los efectos de recuperar el sistema. Tenga en cuenta que los usuarios que tengan instalado un antivirus como NOD32 estarán protegidos ya que el mismo bloqueará el primer intento de ejecución del virus, evitando los daños posteriores. Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos. [COLOR=Red]NOTA: Si el virus ha borrado los primeros sectores del disco duro, esta acción no será posible, y deberá ocurrir a un servicio técnico especializado a los efectos de recuperar el sistema.[/COLOR]2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Repare los archivos detectados como infectados por el virus. Información adicional Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema". |
[B]Los 10 virus más detectados por Virus Radar en Mayo del 2005[/B]
El phishing mantuvo el primer puesto en el ranking del servicio de estadísticas sobre amenazas informáticos de la empresa Eset, el cual muestra los virus de mayor propagación del último mes. El HTML/Phishing.gen mantuvo el primer puesto del ranking de las diez amenazas informáticas de mayor propagación del mes de mayo, según las detecciones realizadas por el servicio VirusRadar.com de la empresa Eset, proveedor global de protección antivirus de última generación. El phishing demuestra que se encuentra en un crecimiento muy amplio, ya que se ubicó durante los últimos dos meses en la primera posición del Ranking, con la gran diferencia que durante mayo alcanzó una propagación apenas menor a los 4 millones de correos electrónicos, mientras que el mes pasado lo hizo en menos de 2 millones. El phishing son mensajes de correo electrónico falsificados con la intención de engañar a usuarios crédulos, para que revelen sus números de tarjetas de crédito, den información de sus depósitos de cuentas bancarias y todo tipo de detalles personales. Por este motivo, los usuarios que caen en esta trampa pueden recibir daños muchos mayores a inconvenientes con el ordenador, como es la pérdida total o parcial de su dinero en la cuenta bancaria o la tarjeta de crédito. Un detalle no menor con respecto al phishing, es que esta amenaza por si sola generó más detecciones que la suma del todo el resto del malware procesado por el servicio. VirusRadar.com es un servicio gratuito que brinda estadísticas detalladas sobre virus, basándose en las detecciones de su antivirus NOD32, el cual está instalado en distintos proveedores de Internet alrededor del mundo que participan del proyecto. Utilizando estas estadísticas es posible, entre otras cosas, conocer el crecimiento de las epidemias de nuevos virus, así como su ciclo de vida. Todos los meses, VirusRadar.com publica un resumen de los diez virus más detectados del mes anterior, para poder observar cuales han sido las últimas amenazas que alcanzan un alto nivel de propagación. http://www.canalspain.com/imagen/21/VirusRadar.jpg En la segunda posición al igual que el mes pasado, se encuentra el Win32/Nestky.Q con casi 900 mil muestras detectadas. El Netsky.Q es un gusano capaz de reproducirse por correo electrónico. Además, puede utilizar aplicaciones de intercambio de archivos (P2P) y recursos compartidos del ordenador afectado. En el tercer escalafón se encuentra el Win32/Sober.O, el cual surgió este mes y gracias a su mensaje en alemán e ingles que decía que regalaba entradas para el Mundial de Fútbol del 2006, consiguió un alto nivel de propagación en muy poco tiempo. El conocido Virus del Mundial no sólo alcanzó grandes niveles de propagación, sino que también tuvo grandes repercusiones en la prensa mundial. Un detalle que marca el revuelo que generó este gusano, es que el Comité Organizador del Mundial de Fútbol de Alemania 2006 fue infectado por el virus y sufrió el bloqueo total de su sistema, según publicaron distintos medios en su momento. La familia Netsky, como lo viene haciendo durante todo este año, es la dueña del ranking. No sólo la version .Q del gusano está dentro del Top 10, desde la cuarta posición hasta la séptima se encuentran las variantes D, Z, B y C del Netsky. Además, en la última plaza está ubicado el Netsky.N. Los otros dos lugares del ranking se encuentran ocupados por el Win32/Zafi.B (el virus de mayor detección del 2004) y el Wind32/Mytob.D. La familia de los Mytob no alcanza los más altos niveles de propagación en ninguna de sus variantes, pero ya se llevan detectadas más de 30 versiones durante el mes de mayo y más de 100 variantes en toda la familia. El gran incremento del phishing es muy preocupante por el daño que le puede causar a los usuarios, por este motivo, siempre es recomendable no seguir los links dentro de los correos electrónicos y entrar a los sitios webs manualmente. Además, hay que tener en cuenta que nunca una institución financiara solicitará datos de ingreso o cualquier otro tipo de datos personales mediante un correo. La forma de propagación más utilizada en la actualidad por los virus es el correo electrónico, confirmado esto por el hecho de que nueve de los diez ocupantes del ranking de VirusRadar son gusanos que se distribuyen de dicha manera. Por esto es primordial que los usuarios se mantengan atentos a los mensajes de correo electrónico no solicitados que reciben, así como no abran sus archivos adjuntos y utilicen un antivirus actualizados con capacidades de detección heurística que le permitan contar con una mejor protección. Acerca de Ontinet.com, S.L. Ontinet.com, S.L. es distribuidor exclusivo para España de los productos de Eset, y cuenta con la mayoría de las versiones traducidas al castellano, incluyendo documentación y ayuda en línea, además de boletines informativos especiales y una completa enciclopedia de virus en español con información, alertas y noticias siempre actualizadas acerca del mundo de los virus: [url]http://www.enciclopediavirus.com[/url] Para una mayor información acerca de los productos de NOD32 puede visitar nuestra página web en [url]http://www.nod32-es.com[/url] |
Nuevo virus expandiendose aclamando que Bin Laden ha sido capturado
Los usuarios están siendo advertidos de que no deben abrir ningún correo en el que diga que Osama Bin Laden, el terrorista más buscado de todos los tiempos, ha sido capturado. El correo dice contener imágenes del lider de Al-Qaeda detenido pero aquel que abra el correo será infectado por un virus. Según las compañías de seguridad, no es el primer correo con virus sobre Bin Laden. Son muchos los hackers que se aprovechan de éste tipo de información para infectar con sus virus. En todos éstos, dice que la CNN y la BBC lo anunciarán en cualquier momento. Siendo ésta información falsa. Algunos asuntos de éste correo son: God Bless America! God Bless! Captured Captured! Finally! Finally! Finally! Captured! He has been captured God Bless the USA! |
[B]Se podría estar gestando un supervirus informático[/B]
Expertos en seguridad alertan ante la posibilidad de que se esté desarrollando en red una potente versión de Mytob. En concreto se sospecha que los creadores del virus Mytob podrían estar fabricando un dañino super virus mediante una red coordinada de desarrolladores. Los recelos proceden de la incorporación a cada nueva variación del virus de un programa de instrucciones de su código destinado a marcar el camino a los desarrolladores, que podrían estar en varias partes del mundo. "La única conclusión a la que podemos llegar es que están trabajando en un gran ataque", explica Carole Theriault, consultora de Sophos, una empresa especializada en seguridad informática. Desde que se descubrió en febrero, el ataque en masa en forma de mails infestados de Mytob fue desarrollando docenas de variantes, cada una ligeramente diferente a la anterior. Todas son capaces de anular los sistema de seguridad del ordenador infectado y bloquear el acceso del usuario a los sitios seguros. Así, la búsqueda de ayuda o asistencia contra el virus se vuelve más difícil. De hecho, la empresa británica antivirus Tren Micro apunta a que el fin del gusano sea el dotarlo de un software espía que facilite datos para robar por Internet. McAfee también reconoce sus extrañezas respecto a este virus informático, considerando que aunque el alcance de cada variante del virus es muy limitada (no llega a muchos usuarios) combina mucha actividad a su alrededor, lo que es sospechoso. |
Informe Semanal de Panda Software de Virus e Intrusos
El Informe Semanal de Panda Software abarca esta semana información sobre tres gusanos, W32.Semapi.A, W32.Codbot.AL, y W32.Mytob.GV. W32.Codbot.AL es un gusano que ha registrado un importante número de detecciones desde su descubrimiento, situándose entre los cinco más activos durante la semana, según la herramienta de análisis online, Panda ActiveScan. Este malware utiliza para propagarse las conocidas vulnerabilidades de los procesos LSASS y RPC-DCOM, además de varias vulnerabilidades en SQL Server. Para instalarse en el equipo, se inscribe como un proceso del sistema, que se ejecuta a cada inicio del sistema, y que una vez en funcionamiento, se conecta a diversos servidores de IRC, a la espera de recibir órdenes. Estas órdenes pueden ser, desde obtención de información del equipo, activación de servicios de captura de pulsaciones de teclado (keylogger) o FTP, e incluso la descarga y ejecución de otro tipo de malware. Este gusano ha sido bloqueado sin conocerlo previamente por las Tecnologías TruPreventTM. Por su parte, W32.Semapi.A es un gusano que se propaga por medio de correo electrónico, utilizando un mensaje de características variables, escrito en inglés, con asuntos y remitentes también variables, y que lleva adjunta una copia del gusano, utilizando diversas extensiones y nombres. Una vez instalado en el ordenador, copia varios archivos al disco duro y crea una serie de entradas en el registro para asegurarse su ejecución en cada inicio del sistema. Posteriormente, busca en el ordenador direcciones procedentes de archivos con extensiones que tiene predefinidas, y se reenvía a todas ellas. Es fácilmente reconocible, ya que al ejecutarse muestra un cuadro de diálogo que indica que no se encuentra el fichero ‘semapi.dll’. El tercer gusano es un componente de la familia Mytob, concretamente la variante GV, con características backdoor y que se propaga, tanto por correo (a direcciones que consigue del ordenador afectado, falseando el remitente), como por medio de recursos compartidos protegidos por medio de contraseñas débiles. Además, finaliza diversos procesos, relacionados en gran medida con aplicaciones antivirus, y bloquea el acceso a sitios web de compañías de seguridad informática, por lo que deja el ordenador expuesto a infecciones de otro tipo de malware. Para evitar la entrada de este malware o de cualquier otro código malicioso, Panda Software recomienda mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de estas especies de malware. Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software |
[B]Troj/Spy.Heles.C. Roba información del usuario[/B]
[b]Nombre:[/b] Troj/Spy.Heles.C [b]Nombre NOD32:[/b] Win32/Spy.Heles.C [b]Tipo:[/b] Caballo de Troya [b]Alias:[/b] Spy.Heles.C, BehavesLike:Win32.ExplorerHijack, PWSteal.Trojan, Troj/Spy.Heles.C, Trojan.Spy.Small-3.dll, Trojan-Spy.Win32.Heles.c, Win32/Spy.Heles.C [b]Fecha:[/b] 25/jun/05 [b]Plataforma:[/b] Windows 32-bit [b]Tamaño:[/b] 6,073 bytes (FSG) Caballo de Troya que puede llegar a nuestro PC liberado por otros malwares, o descargado de sitios Web maliciosos. Cuando se ejecuta, es capaz de capturar todo lo tecleado, y enviarlo en un correo electrónico a un usuario remoto. Aunque por sus características, el troyano podría ser enviado o descargado de Internet de muchas formas diferentes, la muestra recibida (detectada por la heurística de NOD32), fue reportado en un correo electrónico enviado como spam, con las siguientes características: Asunto: Best PORN Collection here!!! Texto del mensaje: hi, download 12 Gig Pon Movies for FREE!!!! New FTP PORN Server is open! [url]www.eba??.info/PornFtp1.rar[/url] drugs, sex and rocknroll ! Cuando se hace clic en el enlace, se descarga un archivo HTML que descarga a su vez el siguiente archivo: http:://217.20.???.147//PornFtp1.rar PORNFTP1.RAR contiene el troyano propiamente dicho con el siguiente nombre: ftpGet1.01.exe (6,073 bytes) Otros archivos creados por el troyano: svcroot.exe gorsys32.dll delself.bat GORSYS32.DLL es el encargado de capturar la salida del teclado. Crea las siguientes entradas en el registro: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows load = [nombre del troyano] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows load = [nombre del troyano] El troyano se registra dentro del proceso del EXPLORER.EXE, y se borra a si mismo luego de ejecutarse. Las siguientes direcciones están contenidas en el código del troyano: cyberpool @ arcor.de keylogger @ rambler.ru Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows NT \CurrentVersion \Windows 3. Haga clic en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE SOFTWARE \Microsoft \Windows NT \CurrentVersion \Windows 5. Haga clic en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. Información adicional Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. |
[B]Troj/Spy.Banker.NEV. Roba información bancaria[/B]
[b]Nombre:[/b] Troj/Spy.Banker.NEV [b]Nombre NOD32:[/b] Win32/Spy.Banker.NEV [b]Tipo:[/b] Caballo de Troya [b]Alias:[/b] Banker.NEV, PSW.Banker.BDQ, Spy/Banker, TR.Spy.Bank.el.13.C, TR/Spy.Bank.el.13.C, Troj/Spy.Banker.NEV, Trojan.KeyLogger.189, Trojan-Spy.Win32.Banker.EL, Trojan-Spy.Win32.Banker.ud, Win32/Spy.Banker.NEV [b]Fecha:[/b] 25/jun/05 [b]Plataforma:[/b] Windows 32-bit [b]Tamaño:[/b] 37,888 bytes (ASPACK) Se trata de un troyano que intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado. Puede ser descargado por otros troyanos. Cuando se ejecuta, examina si ya ha sido instalado en la máquina actual. Si no existe, crea uno o varios archivos en la siguiente ubicación: c:\windows\system32\[nombre de archivo] NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). Crea la siguiente entrada en el registro de Windows, para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [valor] = c:\windows\system32\[nombre de archivo] Donde [valor] es un nombre al azar. El troyano permanece en memoria y monitorea las ventanas del navegador abiertas por el usuario. Cuando éste accede a determinadas páginas, pertenecientes a instituciones bancarias, captura la salida del teclado, capturando datos críticos, como por ejemplo nombre de usuario, datos de tarjetas de créditos, números de cuentas bancarias, y todo lo que el usuario ingrese en cualquier formulario dentro de varios sitios. La información capturada es almacenada en un archivo que luego será enviado a una dirección electrónica predeterminada. El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P. Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios. Reparación manual Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. 5. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). Información adicional Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. |
W32/Bagle.BI. Elimina antivirus y descarga archivos
Nombre: W32/Bagle.BI Nombre NOD32: Win32/Bagle.BI Tipo: Caballo de Troya y gusano de Internet Alias: Bagle.BI, Email-Worm.Win32.Bagle.bq, Email-Worm.Win32.Bagle.BQ, Troj/BagleDl-R, TROJ_BAGLE.BB, W32/_newstuff.2, W32/Bagle.BI, W32/Bagle.BQ-mm, W32/Bagle.gen, Win32.Bagle.BQ@mm, Win32/Bagle.BI, Worm.Bagle.3, Worm.Bagle.BB-gen, Worm.Beagle.AV, Worm/Bagle.Gen Fecha: 26/jun/05 Plataforma: Windows NT, 2000, XP [b]Tamaño:[/b] 36,864 bytes Gusano que es descargado de Internet por otro troyano. Cuando se ejecuta, para intentar engañar al usuario, abre el Microsoft Paint (mspaint.exe), y se copia a si mismo en la siguiente ubicación: c:\windows\system32\WINSHOST.EXE Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run winshost.exe = "winshost.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run winshost.exe = "winshost.exe" También crea las siguientes claves del registro como marca de infección: HKEY_CURRENT_USER\Software\FirstRun FirstRunRR = "dword:00000001" HKEY_USERS\.DEFAULT\Software\FirstRun FirstRunRR = "dword:00000001" Y modifica las siguientes entradas HKLM\SYSTEM\CurrentControlSet\Services\Alerter Start = "dword:00000004" HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start = "dword:00000004" HKLM\SYSTEM\CurrentControlSet\Services\wuauserv Start = "dword:00000004" Luego, el troyano libera el siguiente archivo: c:\windows\system32\WIWSHOST.EXE WIWSHOST.EXE se trata en realidad de un DLL (Dynamic Link Library), que se intentará inyectar en el proceso del Explorer.exe utilizando la función "CreateRemoteThread". Esta función existe solo en Windows con tecnología NT (NT, 2000, XP). La misma, crea un hilo nuevo en cualquier proceso y ejecuta su código. Luego de la inyección de código, WINSHOST.EXE finaliza su ejecución, y el proceso malicioso llamado WIWSHOST permanece ejecutándose encubierto dentro de la tarea del propio Explorer. Sobrescribe el archivo HOSTS en "c:\windows\system32\Drivers\etc\hosts" (en esa ubicación en Windows NT, 2000 y XP), con la siguiente información (esto deja el archivo HOSTS con su configuración por defecto): 127.0.0.1 localhost El troyano también es capaz de finalizar numerosos programas de seguridad (antivirus y cortafuegos). Para ello, intentará deshabilitar cualquier servicio en ejecución con los siguientes nombres: a5v.dll AUPD1ATE.EXE AUPDATE.EXE AUPDATE.EXE av.dll av.dll Av1synmgr.exe Avc1onsol.exe Avconsol.exe Avconsol.exe avg23emc.exe avgc3c.exe avgcc.exe avgcc.exe avgemc.exe avgemc.exe Avsynmgr.exe Avsynmgr.exe C1CSETMGR.EXE c6a5fix.exe cafix.exe cafix.exe CC1EVTMGR.EXE cc1l30.dll ccA1pp.exe ccApp.exe ccApp.exe CCEVTMGR.EXE CCEVTMGR.EXE ccl30.dll ccl30.dll CCSETMGR.EXE CCSETMGR.EXE ccv1rtrst.dll ccvrtrst.dll ccvrtrst.dll CM1Grdian.exe CMGrdian.exe CMGrdian.exe is5a6fe.exe isafe.exe isafe.exe K2A2V.exe KAV.exe KAV.exe kav12mm.exe kavmm.exe kavmm.exe LUAL1L.EXE LUALL.EXE LUALL.EXE LUI1NSDLL.DLL LUINSDLL.DLL LUINSDLL.DLL Luup1date.exe Luupdate.exe Luupdate.exe Mcsh1ield.exe Mcshield.exe Mcshield.exe mysuperprog.exe NAV1APSVC.EXE NAVAPSVC.EXE NAVAPSVC.EXE NPFM1NTOR.EXE NPFMNTOR.EXE NPFMNTOR.EXE outp1ost.exe outpost.exe outpost.exe RuLa1unch.exe RuLaunch.exe RuLaunch.exe s1ymlcsvc.exe SND1Srvc.exe SNDSrvc.exe SNDSrvc.exe SP1BBCSvc.exe SPBBCSvc.exe SPBBCSvc.exe symlcsvc.exe symlcsvc.exe Up222Date.exe Up2Date.exe Up2Date.exe ve6tre5dir.dll vetredir.dll vetredir.dll Vs1Stat.exe vs6va5ult.dll Vshw1in32.exe Vshwin32.exe Vshwin32.exe VsStat.exe VsStat.exe vsvault.dll vsvault.dll zatu6tor.exe zatutor.exe zatutor.exe zatutor.exe zl5avscan.dll zlavscan.dll zlavscan.dll zlavscan.dll zlcli6ent.exe zlclient.exe zlclient.exe zo3nealarm.exe zonealarm.exe zonealarm.exe zonealarm.exe Intentará descargar y ejecutar otros archivos desde numerosos servidores de Internet: http:://www.21e????build.com/osa3.gif http:://www.5????1.net/osa3.gif http:://www.acs????ohio.com/osa3.gif http:://www.ag????ria.hu/osa3.gif http:://www.an????di.com.vn/osa3.gif http:://www.ang????ham.de/osa3.gif http:://www.ascol????fibras.com/osa3.gif http:://www.autom????obilonline.de/osa3.gif http:://www.ban????gyan.cn/osa3.gif http:://www.bea????ll-cpa.com/osa3.gif http:://www.bo????lz.at/osa3.gif http:://www.bs-sec????urity.de/osa3.gif http:://www.centr????ovestecasa.it/osa3.gif http:://www.check????onemedia.nl/osa3.gif http:://www.conte????ntproject.com/osa3.gif http:://www.cz-wa????njia.com/osa3.gif http:://www.czwan????qing.com/osa3.gif http:://www.cz????zm.com/osa3.gif http:://www.dat????anet.huwww.datanet.hu/osa3.gif http:://www.desig????ngong.org/osa3.gif http:://www.dg????y.com.cn/osa3.gif http:://www.die-fli????esen.de/osa3.gif http:://www.discote????ka-funfactory.com/osa3.gif http:://www.dom-inv????est.com.pl/osa3.gif http:://www.eag????le.com.cn/osa3.gif http:://www.eagle????club.com.cn/osa3.gif http:://www.eh????c.hu/osa3.gif http:://www.elvis-pr????esley.ch/osa3.gif http:://www.engel????hardtgmbh.de/osa3.gif http:://www.exte????rnet.hu/osa3.gif http:://www.fahrs????chule-herb.de/osa3.gif http:://www.fahrs????chule-lesser.de/osa3.gif http:://www.ferme????garoy.com/osa3.gif http:://www.festivalteat????rooccidente.com/osa3.gif http:://www.form????holz.at/osa3.gif http:://www.foto????max.fi/osa3.gif http:://www.gemt????rox.com.tw/osa3.gif http:://www.gepe????ters.org/osa3.gif http:://www.gimex????-messzeuge.de/osa3.gif http:://www.gomy????home.com.tw/osa3.gif http:://www.gym????zn.cz/osa3.gif http:://www.honde????nservice.be/osa3.gif http:://www.id????af.de/osa3.gif http:://www.id????cs.be/osa3.gif http:://www.id????er.cl/osa3.gif http:://www.insid????e-tgweb.de/osa3.gif http:://www.iz????oli.sk/osa3.gif http:://www.jcm-ame????rican.com/osa3.gif http:://www.jeou????shinn.com/osa3.gif http:://www.jing????juok.com/osa3.gif http:://www.jue-????bo.com/osa3.gif http:://www.king????sley.ch/osa3.gif http:://www.mark????etvw.com/osa3.gif http:://www.mega????serve.net/osa3.gif http:://www.mi????ld.at/osa3.gif http:://www.niko????gmbh.com/osa3.gif http:://www.ni????ko.de/osa3.gif http:://www.ol????va.com.pe/osa3.gif http:://www.on????24.ee/osa3.gif http:://www.on????link.net/osa3.gif http:://www.ppm-al????liance.de/osa3.gif http:://www.pres????ley.ch/osa3.gif http:://www.rene????gaderc.com/osa3.gif http:://www.repl????ayu.com/osa3.gif http:://www.sach????senbuecher.de/osa3.gif http:://www.sanji????nyuan.com/osa3.gif http:://www.scva????nravenswaaij.nl/osa3.gif http:://www.slo????vanet.sk/osa3.gif http:://www.sns????photo.com/osa3.gif http:://www.soc????ietaet.de/osa3.gif http:://www.soe????co.org/osa3.gif http:://www.sof????tmajor.ru/osa3.gif http:://www.sol????t3.org/osa3.gif http:://www.spac????ium.biz/osa3.gif http:://www.spee????dcom.home.pl/osa3.gif http:://www.spir????it-in-steel.at/osa3.gif http:://www.spo????den.de/osa3.gif http:://www.spo????rtnf.com/osa3.gif http:://www.sp????y.az/osa3.gif http:://www.sqnsol????utions.com/osa3.gif http:://www.st-pau????lus-bonn.dehtdocs/osa3.gif http:://www.st????bs.com.hk/osa3.gif http:://www.steri????pharm.com/osa3.gif http:://www.stude????nts.stir.ac.uk/osa3.gif http:://www.subsp????lanet.com/osa3.gif http:://www.sungo????dbio.com/osa3.gif http:://www.super????betcs.com/osa3.gif http:://www.sw????eb.cz/osa3.gif http:://www.sydo????lo.com/osa3.gif http:://www.szdi????heng.com/osa3.gif http:://www.tcic????ampus.net/osa3.gif http:://www.tech????ni.com.cn/osa3.gif http:://www.tg-sand????hausen-basketball.de/osa3.gif http:://www.th-m????utan.com/osa3.gif http:://www.thai????fast.com/osa3.gif http:://www.thaiv????enture.com/osa3.gif http:://www.thef????unkiest.com/osa3.gif http:://www.thenex????tstep.tv/osa3.gif http:://www.thetexa????soutfitter.com/osa3.gif http:://www.tmhcsd1????987.friko.pl/osa3.gif http:://www.tous????sain.be/osa3.gif http:://www.tra????go.com.pt/osa3.gif http:://www.trave????lourway.com/osa3.gif http:://www.trgd.do????brcz.pl/osa3.gif http:://www.triap????ex.cz/osa3.gif http:://www.trip????tonic.ch/osa3.gif http:://www.tv-ma????rina.com/osa3.gif http:://www.udc-cassi????nadepecchi.it/osa3.gif http:://www.univ????erse.sk/osa3.gif http:://www.uspow????erchair.com/osa3.gif http:://www.u????w.hu/osa3.gif http:://www.vercru????yssenelektro.be/osa3.gif http:://www.vet????24h.com/osa3.gif http:://www.vini????meloni.com/osa3.gif http:://www.vn????n.vn/osa3.gif http:://www.vnrv????jiet.ac.in/osa3.gif http:://www.vote????2fateh.com/osa3.gif http:://www.vw.pre????ss-bank.pl/osa3.gif http:://www.wam????ba.asn.au/osa3.gif http:://www.wd????p.co.za/osa3.gif http:://www.welc????corp.com/osa3.gif http:://www.wesar????tproductions.com/osa3.gif http:://www.wilsons????country.com/osa3.gif http:://www.win????dstar.pl/osa3.gif http:://www.wise-indu????stries.com/osa3.gif http:://www.wit????old.pl/osa3.gif http:://www.wom????bband.com/osa3.gif http:://www.x-t????reme.cz/osa3.gif http:://www.xia????ntong.net/osa3.gif http:://www.xmp????ie.com/osa3.gif http:://www.xmt????d.com/osa3.gif http:://www.xoj????c.com/osa3.gif http:://www.yannic????k-spruyt.be/osa3.gif http:://www.yayado????wnload.com/osa3.gif http:://www.yester????days.co.za/osa3.gif http:://www.ysh????kj.com/osa3.gif http:://www.zak????azcd.dp.ua/osa3.gif http:://www.zen????esoftware.com/osa3.gif http:://www.zen????tek.co.za/osa3.gif http:://www.zor????bas.az/osa3.gif http:://www.zsb????ersala.edu.sk/osa3.gif Este troyano fue detectado proactivamente por la heurística de NOD32, aún antes de ser agregado a su base de datos. |
Reparación manual
IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos, dependerá del daño causado por el troyano desde el momento de ocurrida la infección, hasta el momento de su detección. Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados. Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system32\winshost.exe c:\windows\system32\wiwshost.exe Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_USERS \.DEFAULT \Software \FirstRun 3. Haga clic en la carpeta "FirstRun" y bórrela. 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \FirstRun 5. Haga clic en la carpeta "FirstRun" y bórrela. 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: winshost.exe = "winshost.exe" 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 9. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: winshost.exe = "winshost.exe" 10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Alerter 11. Haga clic en la carpeta "Alerter" y cambie el valor de la entrada "Start" por el siguiente valor: Start = "dword:00000004" 12. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \SharedAccess 13. Haga clic en la carpeta "SharedAccess" y cambie el valor de la entrada "Start" por el siguiente valor: Start = "dword:00000002" 14. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \wuauserv 15. Haga clic en la carpeta "wuauserv" y cambie el valor de la entrada "Start" por el siguiente valor: Start = "dword:00000002" 16. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\ c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información. Información adicional Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. |
Correo con virus aprovecha la masacre de Londres
Según informa [url]www.spamfo.co.uk[/url], la empresa Messagelabs ha detectado la circulación de un correo que hace referencia a vídeos inéditos de los ataques terroristas de Londres, pero que no esconde más que un troyano destinado a tomar el control de sistemas Windows. El correo en cuestión se presenta como un email oficial de la CNN, y promete vídeos inéditos tomados por transeúntes y que recogen nuevos puntos de vista de la tragedia vivida el 7 de julio en Londres. La dirección del remitente (falsa) es [email]breakingnews@cnnonline.com[/email] y el asunto: TERROR HITS LONDON. Al email lo acompaña un archivo adjunto que esconde el virus. El virus que esconde utiliza las técnicas habituales para intentar ejecutarse cada vez que la máquina es encendida, e instala pequeños motores SMTP que permiten enviar correo basura desde el ordenador infectado. El número de infectados no deja de ser anecdótico comparado con otros virus recientes, aunque el número de emails cargados con el virus supuso un pico importante de tráfico durante la misma mañana de los atentados. Lo interesante de este virus es su forma de intentar ser ejecutado e infectar los sistemas. Por un lado aprovecha una circunstancia trágica de la que se ha ofrecido poca información gráfica en los medios. Aprovecha así la morbosa curiosidad de muchas personas que buscan en internet lo que no le encuentra en la prensa escrita o audiovisual tradicional. Sorprende la rapidez con la que se idea, prepara y pone en circulación el virus, sólo horas después de los atentados. Además, el nombre del fichero adjunto que debe ejecutar el usuario para infectarse, contiene una típica doble extensión (simula ser un video en formato AVI, pero en realidad es un ejecutable) muy bien camuflada. Así, se observa que en el propio nombre del archivo, se han insertado gran cantidad de espacios para que el usuario desvincule mentalmente los dos "trozos" de nombre, y el fichero se presente finalmente como un video AVI que ha sido comprobado por el antivirus Norton: "London Terror Moovie.avi <124 espacios> Checked By Norton Antivirus.exe" cuando en realidad, este archivo no es más que un ejecutable con extensión EXE y nombre inusualmente largo que infectará al incauto cuando se ejecute bajo el sistema operativo Microsoft Windows. Afortunadamente, la mayoría de servidores de correo filtra directamente las extensiones ejecutables, impidiendo que lleguen a los clientes de correo de los usuarios, o son profusamente analizadas por los antivirus, a los que les basta con observar la doble extensión para calificar al fichero de, como mínimo, sospechoso. Más información y referencias: New Email Virus Poses As London Terrorist Attack News Footage [url]http://www.spamfo.co.uk/component/option,com_content/task,view/id,347/Itemid,2/[/url] |
La franja horaria es GMT +2. Ahora son las 03:52. |
Powered por vBulletin™ Version 3.8.10
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.
Traducido por vBsoporte - vBulletin en español
ZackYFileS - Foros de Debate