Poblado: Un_sitio_para_todos
|
Virus  Kazoa (Benjamin) Kazaa es el software de intercambio de archivos más utilizado en Internet. Recientemente se descubrió un virus que amenaza a los usuarios de Kazaa. Este virus no es especialmente peligroso. Lo que hace es llenar de datos basura los discos duros o bloquear conecciones dentro de Kazaa. Cuando se instala en la computadora crea copias de sí mismo con más de 3000 nombres distintos, que coinciden con programas muy buscados dentro de Kazaa. Estos archivos pueden ser descargados entonces por otro usuario, cuya computadora se infectará a su vez. Si el archivo se descarga y se ejecuta, aparecerá un mensaje falso de error, semejante a los siguiente: Access error #03A:94574: Invalid pointer operation File possibly corrupted. En este momento el virus se habrá activado e instalado en el sistema. Crea una entrada en el editor de registro para activarse cada vez que se reinicia el sistema, y procederá a hacer múltiples copias de sí mismo con diferentes nombres. Aemente uno de los creadores de este virus concedió una entrevista, y afirmó que su objetivo era atacar el intercambio ilegal de programas y la pornografía infantil. Cómo combatirlo Abra el Editor de Registro, oprimiendo la tecla Inicio (Start), eligiendo la opción Ejecutar (Run) y escribiendo Regedit en la ventana que se habre. Oprima Aceptar. En el panel izquierdo del editor,haciendo click en el signo de "+" junto a las carpetas correspondientes, abra la siguiente ruta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre ntVersion En la carpeta CurretnVersion marque la carpeta "Run". En el panel de la derecha se mostrará su contenido. Busque y elimine la siguiente entrada: System-Service = C:\Windows\System\Explorer.scr (Para eliminarla, haga clic sobre ella con el botón derecho del Mouse y elija Eliminar (Delete). Cierre el Editor de Registro, aceptando si se le pregunta si desea guardar los cambios. Abra el explorador de Windows, busque en el directorio de Windows la carpeta System, y en esa carpeta busque el archivo Explorer.scr. Si lo encuentra, elimínelo. Regrese al directorio de Windows, busque la carpeta Temp, y ahí busque otra carpeta llamada sys32. Si la encuentra, elimínela con todo su contenido. Reinicie su computadora, y revísela con un programa de antivirus actualizado. (Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de Trend Micro: 1. Klez H 2. Funlove.4099 3. Elkern.d 4. Klez.E 5. Nimda.A 6. Sircam.A 7. Exception.gen 8. Magistr.B 9. Nimda.E 10. Nimda.A-O Sobre el Envío de Archivos Adjuntos Es de conocimiento general que la mayoría de los virus se transmiten por medio de archivos adjuntos (attachments) en el correo electrónico. Es por esta razón que debemos tener cuidado cuando los recibimos, para no exponernos a una posible infección. Lo mejor es contactar a la persona que nos envió el archivo adjunto para asegurarnos de su contenido. Sin embargo uno no solo recibe archivos adjuntos, sino que también los envía. Para esto también hay que tomar algunas precauciones, principalmente si el destinatario no se comunica con nosotros. Primero hay que asegurarse de que su cuenta de correo pueda recibir nuestro mensaje. Esto es muy importante sobre todo si enviamos archivos de gran tamaño, pues es posible que no pueda almacenarse en su correo. Además, como cortesía deberíamos preguntar a las otras personas si desean recibir archivos adjuntos de nuestra parte. Naturalmente debemos estar seguros de que el archivo que estamos enviando no contiene virus. Si es un archivo que nosotros mismos hemos recibido en nuestro correo sin saber su verdadera procedencia, lo mejor es no retransmitirlo. Si es un archivo personal, es conveniente examinarlo con un programa de antivirus antes de enviarlo. El destinatario también puede tener sus dudas sobre nuestro mensaje, por lo que es aconsejable incluir una nota informando de la razón del envío del adjunto, su contenido y su nombre, para que el destinatario no piense que se trata de un virus. Los archivos adjuntos son una buena manera de enviar información por medio del correo electrónico. Es una herramienta muy útil, y si se sabe usar correctamente se pueden reducir los riesgos de infecciones virales en nuestras computadoras.  El virus Perrun, también conocido como JPEG Infector, llama la atención de los expertos por ser el primero que ha cruzado de manera abierta el límite entre infección de programas a infección de datos. El virus fue enviado a Network Associates por su autor y la compañía asegura que, por ahora, el código maligno no ha sido detectado en Internet. Por lo mismo, Perrun no es considerado un peligro inmediato. Sin embargo, a entender de los analistas el nuevo virus presenta un sombrío panorama, al poner en evidencia que ahora ya no hay tipo alguno de fichero que esté a salvo de los códigos malignos. Hasta ahora, los ficheros que sólo contienen datos, como las fotografías, películas, texto y música, han estado a salvo de las infecciones de virus. Perrum acaba con la seguridad relativa que existía al respecto. Perrun consiste de un programa que se instala en el disco duro de las máquinas Windows, contaminando luego las imágenes en formato JPEG. Luego, usa tales imágenes para dar instrucciones al virus o reprogramarlo. Mientras el PC no esté contaminado por el propio virus Perrun, este no será afectado si recibe imágenes JPEG infectadas. VIRUS: NO ABRIR EL CORREO HAHAHA  Tener cuidado y no abrir un correo cuyo titulo es HAHAHA y el asunto es ENANITO SI; PERO CON QUE PEDAZO!, tiene toda la pinta de ser un virus. Borrarlo directamente y eliminarlo de la carpeta de elementos eliminados. Un saludo, Elkern.cav Este es un virus polimórfico, capaz de infectar archivos ejecutables desde la memoria. Se puede transmitir por medio de redes, pero se propaga principalmente al ser desacargado por el virus Klez. Si sospecha que el virus Elkern está en su computadora, debe revisar también si el virus Klez está presente. Elkern se copia a sí mismo en archivos ocultos en el directorio de sistema de Windows, con el nombre de WKQ.exe en Windows 95, 98 y Millenium, y como WKQ.dll en Windows NT y 2000. Luego altera el registro de Windows para ser activado cada vez que se reinicia el sistema. Cuando la computadora se reinicie, este virus tratará de infectar aleatoriamente archivos ejecutables. Cómo combatirlo Reinicie la computadora en Modo Seguro (Safe Mode) Haga click en el botón de Inicio (Start), elija Ejecutar (Run) y en la ventana que se abre escriba Regedit. Esto abrirá el editor de registro. Una vez que se haya abierto la ventana del editor de registro, en el panel de la izquierda abra la carpeta HKEY_LOCAL_MACHINE, en esta abra SOFTWARE, en esta abra Microsoft, en esta Windows, en esta CurrentVersion y seleccione la carpeta Run. En el panel de la derecha, busque y elimine la siguiente entrada: AppInit_DLLs %System%\Wqk.dll Oprima el botón Registro (Registry) en la parte superior izquierda del Editor de Registro, y cierre el programa. Reinicie la computadora en modo normal, y revísela con un antivirus actualizado. (Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. 1. LoveLetter 2. Nimda.eml 3. Klez.h 4. Gorum.gen 5. Elkern.cav.c 6. Nimda.gen 7. Magistr.b 8. Klez 9. Kuang.GR 10. Exploit-MIME.gen Precauciones en el manejo del correo electrónico: Recientemente ha aparecido varios virus que se aprovechan de vulnerabilidades en el Internet Explorer y en el Outlook y Outlook Express de Microsoft. Esto les permite ejecutarse sin necesidad de que el usuario abra el archivo adjunto. Microsoft ha puesto a disposición del público de manera gratuita los parches necesarios para corregir estas aberturas por las que se pueden introducir virus a nuestras computadoras. (Se pueden encontrar en la dirección http://www.microsoft.com/windows/ie/downloads/criti cal/Q319182/default.asp) Además de actualizar el software con el que manejamos nuestro correo electrónico, se pueden tomar otras precauciones. En los clientes de correo, es conveniente desactivar la opción de vista preliminar, que permite ver el contenido de un mensaje sin abrirlo. De esta manera podremos manejar el mensaje con mayor seguridad. La mayoría de los clientes de correo tienen esta opción. Otra cosa que podemos hacer es evitar que de nuestras computadoras salgan virus hacia las direcciones de correo que tenemos almacenadas. Esto no eliminará por sí mismo que haya un virus en nuestra computadora, pero es una manera de prevenir la infección de las máquinas de las personas con las que nos comunicamos por medio de correo electrónico. Varios clientes de correo, como el Outlook, permiten elegir el formato de mensaje enviado. Si es posible, se recomienda activar la opción de correo en formato texto simple. De esta manera nuestra computadora no podrá enviar virus en el formato HTML, el corriente para páginas de Internet y que puede enviar los codigos de los virus. Hay que tomar en cuenta que puede haber la opción de responder un correo en el formato en que fue recibido. Esta opción también se debe desactivar. No podemos evitar que los virus existan y se propaguen en Internet, pero sí podemos reducir los riesgos para nosotros y para quienes están en contacto con nosotros. Lo que necesitamos es un poco de precaución y usar el sentido común.  Winevar El gusano Winevar que intenta eliminar archivos de programas de antivirus y cortafuegos. Además descarga y ejecuta el virus FunLove. El correo que contiene este virus incluye tres archivos adjuntos, cuyos nombres varían pero tienen el siguiente formato: Win(Caracteres variados).Txt (12.6 KB) Music_1.htm Win(Caracteres variados).Gif (120 Bytes) Music_2.ceo Win(Caracteres variados).pif El archivo .htm permite que la extensión del archivo .ceo sea registrada como ejecutable. Se aconseja bloquear y eliminar los mensajes que incluyan adjuntos con la extensión .pif y .ceo. Cuando se ejecuta por primera vez intenta finalizar y deshabilitar varios productos de antivirus y cortafuegos, utilizando una lista de extensiones incluídas en su código. También muestra una ventana con el siguiente mensaje: Make a fool of oneself What a foolish thing you have done! Luego de esto el gusano añade una entrada en el Registro para ser ejecutado cada vez que se encienda la computadora. Además incluye su propio motor SMTP, con el que se envía masivamente por correo, utilizando las direcciones que obtiene de la máquina infectada. Cómo combatirlo Haga clic en el botón de Inicio (Start), elija Ejecutar (Run) y en la ventana que se abre escriba REGEDIT. Oprima Aceptar (Enter). Esto abrirá el Editor de Registro. En el Editor de Registro abra la siguiente ruta en las carpetas y subcarpetas del panel de la izquierda: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Marque RunServices y en el panel de la derecha busque y elimine las entradas semejantes a las siguientes: (Default) Win Win Realice la misma búsqueda en las rutas siguientes: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run Cierre el Edito de Registro y reinicie la computadoral. Luego examine la computadora con uno o varios programas de antivirus actualizados. (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. Happy.b 2. LoveLetter 3. Nimda.eml 4. Klez.h 5. Redlof 6. Elkern.cav.c 7. Nimda.htm 8. Supova.worm 9. FunLove.gen 10. Klez  Winevar El gusano Winevar que intenta eliminar archivos de programas de antivirus y cortafuegos. Además descarga y ejecuta el virus FunLove. El correo que contiene este virus incluye tres archivos adjuntos, cuyos nombres varían pero tienen el siguiente formato: Win(Caracteres variados).Txt (12.6 KB) Music_1.htm Win(Caracteres variados).Gif (120 Bytes) Music_2.ceo Win(Caracteres variados).pif El archivo .htm permite que la extensión del archivo .ceo sea registrada como ejecutable. Se aconseja bloquear y eliminar los mensajes que incluyan adjuntos con la extensión .pif y .ceo. Cuando se ejecuta por primera vez intenta finalizar y deshabilitar varios productos de antivirus y cortafuegos, utilizando una lista de extensiones incluídas en su código. También muestra una ventana con el siguiente mensaje: Make a fool of oneself What a foolish thing you have done! Luego de esto el gusano añade una entrada en el Registro para ser ejecutado cada vez que se encienda la computadora. Además incluye su propio motor SMTP, con el que se envía masivamente por correo, utilizando las direcciones que obtiene de la máquina infectada. Cómo combatirlo Haga clic en el botón de Inicio (Start), elija Ejecutar (Run) y en la ventana que se abre escriba REGEDIT. Oprima Aceptar (Enter). Esto abrirá el Editor de Registro. En el Editor de Registro abra la siguiente ruta en las carpetas y subcarpetas del panel de la izquierda: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Marque RunServices y en el panel de la derecha busque y elimine las entradas semejantes a las siguientes: (Default) Win Win Realice la misma búsqueda en las rutas siguientes: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run Cierre el Edito de Registro y reinicie la computadoral. Luego examine la computadora con uno o varios programas de antivirus actualizados. (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. Happy.b 2. LoveLetter 3. Nimda.eml 4. Klez.h 5. Redlof 6. Elkern.cav.c 7. Nimda.htm 8. Supova.worm 9. FunLove.gen 10. Klez  Braid.A Braid.A es un gusano de internet que incluye una variación del virus FunLove.4099. Es conocido también como Brid.A y worm-Bradex. El asunto del mensaje en el que se trasmite es el nombre de una compañía como está registrada en Windows, y el nombre del archivo adjunto es Readme.exe. Pone como remitente a un usuario autorizado y tomará información de la computadora para escribir el cuerpo del mensaje, que contendrá la versión de Windows, el número de identificación, la clave y la lista de procesos. Cuando Braid es ejecutado intenta conectarse a www.hotmail.com, insertar varios archivos en el la carpeta del sistema de Windows y luego enviarse masivamente por correo. Posee su propio motor SMTP, con el que intenta enviarse a las direcciones de correo de Outlook, además de direcciones que puede encontrar en archivos .htm y .dbx. Este gusano usa una vulnerabilidad conocida de Internet Explorer que le permite ejecutarse automáticamente. El parche para corregir esta vulnerabilidad se puede encontrar en la dirección http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp. El gusano también sobreescribirá el archivo MSConfig en el archivo de sistema de Windows y luego ejecutará la versión modificada de FunLove.4099. La presencia de este virus en la memoria también puede causar problemas en los procesos, desestabilizando el sistema. En el Escritorio copiará los arhivos Help.eml y Explorer.exe. Help.eml es un archivo de Outlook que al abrirse ejecutará el virus en sistemas no parcheados. Explorer.exe es una copia del gusano. En la carpeta del sistema de Windows creará los archivos Bride.exe (que contiene al virus), Msconfig.exe y Regedit.exe. También añade un valor al Registro de Windows para ser ejecutado cada vez que se reinicia la computadora. Cómo combatirlo Para remover la clave del registro de Windows, se abre el Editor de Registro. Para esto se oprime el botón de Ininio (Start), se elije Ejecutar (Run) y en la ventana que se abre se escribe Regedit. Se oprime Aceptar (OK). Cambios erróneos en el Registro de Windows pueden provocar problemas en el sistema, por lo que este procedimiento se debe realizar cuidadosamente. Una vez que se abre el Editor de Registro, se abren en el panel de la izquierda las siguientes carpetas y subcarpetas: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Se marca Run y en el panel de la derecha se busca y se elimina la clave que contiene Regedit. Se cierra el Editor de Registro. Se abre el Explorador para navegar en la carpeta de Windows, y en ella se abre la carpeta System. Aquí se deben buscar y eliminar los siguientes archivos: Bride.exe MSConfig.exe Regedit.exe En la carpeta Temp en Windows se eliminan los archivos Brade0.tmp y Brade1.tmp. En el escritorio se borran los arhivos Explorer.exe y Help.eml. Se reinicia la computadora y se revisa con uno o más antivirus actualizados. Si el archivo MSConfig fue sobreescrito por el virus deberá ser recuperado desde el disco de instalación de Windows. (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. LoveLetter 2. Supova.worm 3. Nimda.eml 4. Redlof 5. Klez.h 6. Elkern.cav.c 7. Nimda.htm 8. Yaha.g 9. Benjamin.worm 10. Spaces.gen  Rodok.A Rodok.A es un gusano programado en VisualBasic 6. Es conocido también como Henpeck y Fleming. Este virus se propaga por medio de MSN Messenger enviando mensajes que contienen una dirección URL hacia una copia de sí mismo en un servidor remoto. También intenta descargar un archivo ejecutable que funciona como un troyano de puerta trasera. Muestra en el Messenger el siguiente mensaje: "Hey!! Could you please check out this program for me? :) I made it myself and want people to test it. Its a readme with the program that explains what it does! http:// (Dirección removida) / BR2002.exe <-- There you can download it! give me advices on what to upgrade please!!". En el mensaje se pide que se pruebe un nuevo programa, pero si se acepta se descargarán actualizaciones del gusano y un programa troyano. El gusano intenta descargar el troyano de la dirección http://(Dirección removida).net/downl0ad/CS-Keygen.exe y guardarla en el directorio raíz del disco duro con el nombre C:\hehe2397824.exe. Si este archivo es ejecutado crea una copia de sí mismo en c:\WINDOWS\WinUpdat.exeupdate.ur.address, y añade una línea en el Registro de Windows para ser ejecutado cada vez que se enciende la computadora. Al activarse puede permitir el acceso a la máquina de otras personas, comprometiendo la seguridad del sistema. Cómo combatirlo Abra el Explorador de Windows, localice y elimine los siguientes archivos: C:\update35784.exe C:\hehe2397824.exe C:\WINDOWS\WinUpdat.exeupdate.ur.address (C:\Windows es por lo general la carpeta donde se instalan los componentes de Windows. Si se han instalado en una carpeta diferente se debe sustituir la dirección.) Haga click con el botón derecho sobre el ícono de la papelera de reciclaje y selecciones Vaciar Papelera. Para eliminar las claves del Registro, haga click en el botón de Inicio (Start) seleccione Ejecutar (Run) y en la ventana que se abre escriba Regedit. Oprima Aceptar (Enter). Puede abrir también rápidamente la ventana de ejecución oprimiendo simultáneamente la tecla de ventana de Windows y la tecla R. Una vez que se ha abierto el editor de registro, abra en el panel de la izquierda las siguientes carpetas y subcarpetas: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion. En CurrentVersion seleccione la carpeta Run para mostrar su contenido en el panel de la derecha. En el panel de la derecha busque y elimine la siguiente entrada: WinUpdat = C:\WINDOWS\WinUpdat.exeupdate.ur.address. Cierre el editor de registro. Reinicie la computadora, y luego revísela con uno o más antivirus actualizados. (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. Supova.worm 2. LoveLetter 3. Nimda.eml 4. Redlof 5. Benjamin.worm 6. Klez.h 7. Elkern.cav.c 8. Klez 9. SirCam 10. Exploit-MIME.gen.exe  Opasoft.A Éste es un gusano que se propaga a través de redes locales, utilizando discos duros compartidos por medio de una vulnerabilidad de sistemas que funcionan con Windows 95, 98 y ME. (El parche para corregir esta vulnerabilidad puede encontrarse en la dirección http://www.microsoft.com/technet/security/bulletin/MS00-072.asp. Opasoft intenta descargar una actualización llamada Scrupd.exe y enviar información de la red a un sitio web, pero el sitio ha sido inhabilitado. Cuando infecta las computadoras de la red local instala un archivo llamado "scrsvr.exe" en el directorio de Windows, altera el registro de Windows para ser ejecutado cada vez que el sistema se reinicia, e introduce una línea en el archivo win.ini con el mismo propósito. Cómo combatirlo Desconecte la computadora de la red local. Para remover el valor añadido al registro, abra el editor de registro. En la barra de tareas oprima Inicio (Start), elija Ejecutar (Run) y en la ventana que se abre escriba Regedit. Oprima Aceptar (OK). Puede abrir la ventana de ejecución rápidamente al oprimir simultáneamente la tecla de Windows y la tecla R. Debe tener cuidado cuando cambia la informacion en el Registro, para no producir problemas en Windows. En el editor de Registro abra la siguiente ruta en las carpetas del panel de la izquierda: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, y marque la carpeta Run. En el panel de la derecha, busque la entrada ScrSvr[directorio de windows]\ScrSvr.exe, y elimínela. Cierre el Editor de Registro. Para eliminar la entrada en el archivo Win.ini, abra la ventana de Ejecución (Run) como en el paso anterior, pero esta vez escriba edit c:\windows\win.ini. Esto abrirá un editor de DOS. Si Windows está instalado en otro directorio se debe sustituir la ruta. En la sección [windows] del archivo, busque una entrada similar a run= c:\ScrSvr.exe o run= c:\tmp.ini. Selecione la línea entera, asegurándose de no selecionar otras, y luego oprima Suprimir (Delete). Selecione Archivo (File), elija Guardar (Save) y luego Salir (Exit) Reinicie la computadora. Revise el sistema con uno o varios antivirus actualizados. (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. LoveLetter 2. Nimda.eml 3. Supova.worm 4. Klez.h 5. Elkern.cav.c 6. Benjamin.worm.a 7. Opaserv.worm 8. Benjamin.worm 9. Divi.gen 10. Bugbear  Kenston-1895 Este virus también es conocido como PE_ Kenston, Kenston 1895 y Kenston 1874. La impresa Symantec también lo reconoce con el nombre de Haha. Se transmite por medio de la ejecución de programas que ya han sido infectados. Al activarse, este virus busca archivos con la extensión .exe en los sistemas operativos Windows. Al localizarlos añade el código viral al final de estos archivos, aumentando su tamaño en 1895 bytes. Además modifica el punto de entrada del archivo para que al ejecutarse el virus se active primero. También altera un byte en la cabecera del programa para evitar infectarlo más de una vez. Este virus no busca destruir archivos ni mostrar mensajes, siendo su principal objetivo unirse a la mayor cantidad posible de archivos ejecutables. Kenston 1895 no se instala en la memoria, sino que se activa al ejecutarse un archivo que ha sido infectado, con el que buscará más programas ejecutables para infectar. Cómo combatirlo Como Kenston 1895 se une a los archivos ejecutables es necesaria la utilización de uno o varios programas de antivirus actualizados para poder eliminar el código. Si el programa no puede ser reparado, lo más recomendable es eliminarlo y restaurarlo desde el paquete original de instalación o una copia de respaldo que haya sido revisada con el antivirus. Antes de reinstalar los programas conviene revisar la computadora completamente con los antivirus, pues un solo programa infectado volverá a infectar los demás. (Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. LoveLetter 2. Nimda.eml 3. Spaces.gen 4. Klez.h 5. Elkern.cav.c 6. Benjamin.a.worm 7. Haptime.gen 8. Klez 9. Benjamin 10. Klez.eml  WYC.C Wyx.C es un virus polimórfico que infecta los sectores de boot de los discos fijos y removibles de la máquina infectada. Cuando se activa Wyx.C se reduce el total de memoria disponible para aplicaciones DOS en 2 KB lo que es utilizado por el virus para cargarse a si mismo en la parte alta de memoria (con límite 638K). Este virus se instala en la computadora cuando se intenta reiniciarla con un disquette infectado. Intentará infectar el registro maestro de Boot (MBR) y los sectores de boot del disco (DBS) de la primera partición del disco duro local. Además permanecerá residente en memoria chequeando periódicamente la existencia de sectores de boot sin infectar. Debido a ciertos errores en su programa el virus puede reescribir parte del despliegue de memoria mientras se ejecuta, lo que puede hacer que aparezcan datos mezclados en la parte superior de la pantalla. También puede destruir particiones de FAT32 en el momento de la infección. Cómo combatirlo Para eliminar este virus se requiere el uso de un programa de antivirus. Es recomendable reiniciar la computadora desde un disco de reinicio que no esté infectado, y luego revisar el sistema con uno o varios antivirus actualizados. (Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales). Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. LoveLetter 2. Nimda.eml 3. Klez.h 4. Elkern.cav.c 5. Gorum.gen 6. Supova.worm 7. Klez.eml 8. Nimda.gen 9. Benjamin.a.worm 10. Kwbot.worm  Kwbot Kwbot es una combinación de gusano y troyano. Se propaga por medio de los archivos compartidos del sistema de Kazaa, cambiando su nombre a programas, juegos y películas populares para intentar ser descargado. Algunos ejemplos son Spiderman SVCD CD3.exe, Playstation 2 PS2 Emulator.exe y Star Wars Episode 2 - Attack of the Clones VCD CD2.exe. Los nombres son elegidos de una lista interna del gusano. Cuando este gusano es ejecutado, se copia a sí mismo en el directorio de Windows con el nombre Explorer32.exe. Luego añade un valor en el Registro de Windows para ser ejecutado cada vez que la computadora se reinicia. Luego se instala en las carpetas de archivos compartidos de Kazaa con nombres atractivos para otros usuarios. Kwbot abre también un puerto TCP al azar para permitir la entrada al sistema del atacante. Incluye su propio cliente IRC, lo que le permite conectarse a un canal IRC especificado en su propio código. Por medio de este canal el gusano espera instrucciones de otras personas, que pueden tener acceso a la parte troyana del virus por medio de una contraseña. Cuando el atacante logra el acceso, puede realizar acciones como instalar una puerta trasera para tener acceso a la computadora infectada, dirigir un ataque de negación de servicios contra otro sistema, conseguir información confidencial, robar archivos, actualizar el gusano e incluso eliminarlo del sistema sin dejar rastro. Cómo combatirlo Abra el Editor de Registro. Para esto oprima el botón Inicio (Star), elija Ejecutar (Run) y en la ventana que se abre escriba Regedit. En el panel de la izquierda, abra las carpetas y subcarpetas correspondientes a la siguiente ruta: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run. Marque la carpeta Run y en el panel de la derecha busque y elimine la entrada con el valor Explorer32.exe dirigido hacia el directorio de Windows. Nuevamente en el panel de la izquierda abra la siguiente ruta: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices. Marque la carpeta RunServices y en el panel de la derecha busque y elimine la entrada con el mismo valor que la anterior, o sea Explorer32.exe localizada en la carpeta de Windows. Cierre el Editor de Registro, confirmando los cambios si se le pregunta. Abra el Explorador de Windows (una manera rápida de hacerlo es oprimiendo simultáneamente el botón de Windows y la letra E en el teclado). En el exlorador busque el directorio de Windows y márquelo para desplegar su contenido. Busque el archivo Explorer32.exe y si lo encuentra elimínelo. Luego cierre todos los programas y reinicie la computadora. (Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. LoveLetter 2. Nimda.eml 3. Supova.worm 4. Kwbot.worm 5. Klez.h 6. Benjamin.a.worm 7. Elkern.cav.c 8. Nimda.gen 9. NoClose 10. Klez  Vig.Worm Este es un virus de baja peligrosidad escrito en VisualBasic. Intenta copiarse a disquettes, discos duros y transmitirse por medio de redes locales. Cuando se instala en una máquina, busca los siquientes archivos: pamela.exe tetris.exe juego.exe informe.exe aznarin.exe Si no los encuentra se copia a sí mismo con uno de esos nombres. Luego intenta copiarse con el nombre de dllrun32.exe en el directorio de sistema de Windows. Si el directorio del sistema está en otro directorio, el virus no lo creará. Vig.worm altera el registro de Windows para ejecutarse cada vez que se reinicia la computadora. También cambia el nombre del usuario, registrándolo como Viguito Bufón. Además intenta eliminar el archivo regedit.exe. Cómo combatirlo Si el archivo regedit.exe ha sido eliminado por este gusano, se debe reinstalar desde un disco de respaldo o desde el disco de Windows antes de proseguir. Si aún existe el archivo regedit.exe, se abre oprimiendo el botón Inicio (Star). Luego se elije Ejecutar (Run) y en la ventana que se abre se escribe Regedit. Se oprime Aceptar (OK). En el panel de la izquierda, abra las carpetas y subcarpetas correspondientes a la siguiente ruta: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Marque Run, y en la carpeta de la derecha localice las entradas que contienen el siguiente valor: SystemCheck: C:\Windows\System\dllrun32.exe. Se cierra el editor de Registro. Luego, en la carpeta de Windows se busca con el Windows Explorer la carpeta System. En esa carpeta se buscan archivos con el nombre de pamela.exe, tetris.exe, juego.exe, informe.exe o aznarin.exe. Si se encuentran, se marcan con el botón derecho del mouse y se elije Eliminar (Delete). Si el gusano logró cambiar el nombre de usuario, se debe volver a poner el nombre correcto. Se oprime la tecla Inicio, se elije Configuración, y luego se elije Panel de Control. Se hace doble clic en Cuentas de Usuario y se ponen los datos originales. Revise el sistema con uno o varios antivirus actualidados. (Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. LoveLetter 2. Gorum.gen 3. Nimda.eml 4. NoClose 5. Klez.h 6. Benjamin.a.worm 7. Elkern.cav.c 8. Nimda.htm 9. Klez 10. Benjamin Supernova  Supernova es un gusano de Internet que utiliza el popular servicio de intercambio de archivos Kazaa y el MSN Messenger para propagarse. Para esto se copia a sí mismo en la carpeta de archivos compartidos de Kazaa, con nombres de programas, películas y juegos populares para atraer a los usuarios y provocar su descarga. Cuando el archivo es ejecutado, el gusano muestra un mensaje falso de error: Application attempted to read memory at 0xFFFFFFFFh Terminating application Luego se copia en la carpeta de archivos compartidos, y crea una copia en la carpeta de sistema de Windows con un nombre elegido aleatoriamente entre los siguientes: Alles-ist-vorbei.exe BigMac.exe Blaargh.exe Cheese-Burger.exe Desktop-shooting.exe Hello-Kitty.exe También crea una entrada en el Registro de Windows para ser ejecutado cada vez que el sistema se reinicia. Muestra también un icono en el escritorio con el nombre de Hello-Kitty.exe. Utiliza además la Libreta de Direcciones de MSN Messenger para enviarse como un mensaje con alguno de los siguientes títulos: Funny, check it out Hehe, check this out :-) Hehe, this is fun :-) LOL!! Check this out :) LOL!! See this :D Crea también un archivo de texto llamado w32.Supernova, que contiene la siguiente línea: Patch the leaks or the ship will sink (Parche las goteras o el barco se hundirá) Este gusano es conocido también como Supova.Worm, Kitty.Worm, Kitty, WORM_SURNOVA.A, SURNOVA.A, Worm.P2P.Surnova o Supova. Cómo combatirlo Abra el Administrador de Procesos (Crtl + Alt + Del ó Supr). En la sección de Procesos, busque el que tiene el nombre AAAAAA, márquelo y oprima el botón Terminar Proceso (End Process). Cierre el administrador de procesos. Abra el Editor de Registro. Para esto oprima el botón Inicio (Star), elija Ejecutar (Run) y en la ventana que se abre escriba Regedit. En el panel de la izquierda, abra las carpetas y subcarpetas correspondientes a la siguiente ruta: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run. Marque Run, y en la carpeta de la derecha localice las entradas que contienen el siguiente valor: Supernova. Marque esas entradas, oprima el botón derecho del mouse y elija Eliminar. Cierre el editor de Registro. Abra el Explorador de Windows (Consejo: Para abrir rápidamente el Explorador de Window, presione simultáneamente la tecla de Windows y la letra "e") En el Explorador, abra la carpeta de sistema de Windows, y busque los siguientes archivos: Alles-ist-vorbei.exe BigMac.exe Blaargh.exe Cheese-Burger.exe Desktop-shooting.exe Hello-Kitty.exe Si encuentra alguno de estos archivos, elimínelo. Busque también un archivo de texto cuyo nombre sea un número aleatorio de hasta doce dígitos. Si encuentra un archivo con esa descripción, ábralo con un editor de texto, preferiblemente el Bloc de Notas. Puede abrir este programa oprimiendo el botón de Inicio, en el que elije Programas, en donde abre Accesorios. Ahí encontrará usualmente el Bloc de Notas. Si al abrir el archivo aparece el texto "Patch the leaks or the ship will sink", cierre el Bloc de Notas y elimine el archivo. Reinicie la computadora, y examínela con uno o varios antivirus actualizados. (Nota: Los usuarios de Windows ME deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. LoveLetter 2. Nimda 3. Nimda.eml 4. Supova.worm 5. NoClose 6. Benjamin.a.worm 7. Klez.h 8. Nimda.htm 9. Nimda.gen 10. Exploit-MIME.gen  Gibe C. (Swen A, Sven A.) El gusano Gibe C emplea varios métodos diferentes para propagarse; por medio del correo electrónico, red de intercambio de archivos de KaZaA, unidades compartidas en red, y grupos de noticias. Cuando se recibe en un mensaje de correo electrónico, incluye un código HTML que muestra una página con el aspecto del sitio de Microsoft, afirmando que se trata de un parche de seguridad crítico. Como muchos otros gusanos recientes, utiliza también una vulnerabilidad en el Internet Explorer y el Outlook para ejecutarse automáticamente al abrirse el mensaje, sin necesidad de hacer clic para ejecutar el archivo adjunto. Gibe C puede detener procesos de varios programas de antivirus, cortafuegos y herramientas de monitoreo del sistema. Puede también deshabilitar el Editor de Registro de Windows, y capturar información confidencial almacenada en la máquina. Periódicamente muestra un falso mensaje de error, en el que pide al usuario los datos necesarios para acceder al correo electrónico, como usuario, contraseña y tipo de servidor, entre otros datos. Cómo combatirlo Para combatir este gusano se puede utilizar la herramiente ClnSwen, de Computer Asociates. Se puede descargar en la siguiente dirección: http://www3.ca.com/virusinfo/virus.aspx?ID=36939 Es posible que el gusano haya desabilitado el Editor de Registro. El Editor se abra haciendo clic en Inicio (Start), eligiendo Ejecutar (Run) y escribiendo "Regedit" en la ventana de ejecuión. Si tras realizar estos pasos no se puede abrir el editor, deberá restaurarlo. Para ésto, siga los siguientes pasos: Abra el Bloc de Notas (Notepad. Usualmente está en Inicio/Programas/Accesorios. También lo puede abrir rápidamente haciendo clic en Inicio, luego Ejecutar -o Run- y escribiendo en la ventana de ejución "notepad". Haga clic en Aceptar). Copie las siguientes líneas en el Bloc de Notas: REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 [HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\regfile\shell\open\command] @="regedit.exe \"%1\"" [HKEY_CLASSES_ROOT\scrfile\shell\config\command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\scrfile\shell\open\command] @="\"%1\" /S" Cuando haya copiado estas instrucciones, elija en Archivo (File) la opción Guardar Como (Save As). Escriba el nombre del archivo como RESTORE.REG. Recuerde el lugar en el que lo guardó. Si lo desea, puede guardarse en las carpetas de documentos personales. Luego abra el Explorador de Windows, localice este archivo y haga doble clic sobre él. Elija Sí (Yes) en la ventana de confirmación. (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. Swen 2. Redlof 3. Dumaru.a 4. Exploit-MIME.gen.c 5. Klez.h 6. Pate.b 7. ProcKill-T 8. MP3Search 9. Exploit-MIME.gen.exe 10. RemoteProcessLaunch  MiMail MiMail es un gusano de rápida difusión y baja peligrosidad, que se transmite por medio del correo electrónico. Tiene su propio motor SMTP, por lo que no requiere un cliente de correo como Outlook o Outlook Express para enviarse a las direcciones de correo que localiza dentro de la máquina infectada. El gusano puede capturar texto de varias ventanas y enviarlas a direcciones en Internet que incluye en su código. El mensaje por el que se recibe este gusano tiene las siguientes características: De: admin@(caracteres al azar) Subject: your account (caracteres al azar) Mensaje: Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. Best regards, Administrator (caracteres al azar) Archivo adjunto: "message.zip" Este zip contiene el archivo message.html, que incluye en su código un ejecutable que instala el gusano. El usuario debe hacer doble clic en este archivo para que se produzca la infección. MiMail se aprovecha de una conocida vulnerabilidad del Outlook Express y del Internet explorer que permite ejecutar automáticamente rutinas escritas en javascript. Cuando el gusano es activado, añade una entrada en el Registro de Windows y mientras tanto muestra un mensaje en rojo con fondo negro, que dice: "Please wait loading message ....." Cómo combatirlo Symantec ofrece gratuitamente al público una herramienta para eliminar el MiMail. Se puede descargar en la siguiente dirección: http://securityresponse.symantec.com/avcenter/venc/data/w32.mimail.a@mm.removal.tool.html Para eliminarlo manualmente, se procede a abrir el editor de registro: Se hace clic en el botón de Inicio (Start). Se elije la opción Ejecutar (Run) y en la ventana que se abre se escribe Regedit. Se oprime Aceptar (OK). Ésto abrirá el Editor de Registro. En el panel izquierdo del editor, abra la siguiente ruta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Marque la carpeta Run y en el panel de la derecha, localice y elimine la entrada con el nombre "VideoDriver". En el panel izquierdo abra esta otra ruta: HKEY_CLASSES_ROOT\CLSID Marque la carpeta CLSID y en el panel de la derecha busque y elimine la entrada {11111111-1111-1111-1111-111111111111} Nuevamente en el panel de la izquierda abra esta ruta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units. Marque la carpeta Distribution Units y en el panel de la derecha elimine la entrada {11111111-1111-1111-1111-111111111111}. Cierre el Editor de Registro. Reinicie su computadora. Cuando haya reiniciado, abra el Explorador de Windows y en él abra la carpeta del sistema de Windows. En ella busque y elimine los siguientes archivos: c:\windows\exe.tmp c:\windows\zip.tmp c:\windows\eml.tmp c:\windows\videodrv.exe En el escritorio haga clic con el botón derecho del mouse en la Carpeta de Reciclaje y elija la opción "Vaciar la papelera de reciclaje". Elimine los mensajes con las características correspondientes a MiMail. Si su máquina fue infectada por este gusano, necesitará instalar los parches correspondientes, que están disponibles en el sitio web de Microsoft, en las siguientes direcciones: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-014.asp http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-015.asp (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de Trend: 1. Lovegate.G 2. Sobig.F 3. Lovgate.F 4. Nachi.A 5. Elkern.D 6. Dasmin.B 7. Klez.H 8. Bytverify.A 9. Antinny.A 10. Parite.A  Sobig.F Sobig.F es un gusano de rápida difusión. Se propaga por correo electrónico, usando su propio motor SMTP, por lo que no necesita un cliente de correo como Outlook o Outlook Express. Se transmite también por recursos compartidos en redes de Microsoft. Este gusano altera el Registro de Windows para activarse cada vez que se inicia el sistema. Abre los puertos del 995 al 999, y permanece a la espera de recibir órdenes de terceras personas, actuando así como un troyano. Cada hora ejecuta una rutina para conectarse a varias direcciones en Internet para descargar actualizaciones de sí mismo. El gusano se autoenvía a las direcciones de correo que encuentra en los archivos de la máquina infectada que tengan las siguientes extensiones: .dbx .eml .hlp .htm .html .mht .wab .txt Sobig.F puede alterar el nombre del remitente, por lo que el mensaje que lo contiene no proviene necesariamente de quien se indica, sino de alguna dirección almacenada en la máquina infectada. El asunto del mensaje puede varias entre los siguientes: Re: Details Re: Approved Re: Re: My details Re: Thank you! Re: That movie Re: Wicked screensaver Re: Your application Thank you! Your details El cuerpo del mensaje puede ser: See the attached file for details Please see the attached file for details. El archivo adjunto que contiene al virus puede ser uno de los siguientes: your_document.pif document_all.pif thank_you.pif your_details.pif details.pif document_9446.pif application.pif wicked_scr.scr movie0045.pif Este gusano está programado para desactivarse cuando la fecha del sistema es 10 de septiembre, 2003. Cómo combatirlo Antes de realizar alguno de los procedimientos para eliminar este gusano, desconecte la computadora de la red. Symantec a puesto a disposición del público una herramienta para eliminar el Sobig.F. Puede encontrarse en la siguiente dirección: http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.removal.tool.html Si se desea eliminar manualmente este gusano, se oprime el botón de Inicio (Start). Se elije la opción Ejecutar (Run) y en la ventana que se abre se escribe Regedit. Se oprime Aceptar (OK). Ésto abrirá el Editor de Registro. En el panel de la izquierda se abre la siguiente ruta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Marque la carpeta Run para ver su contenido en el panel de la derecha. Aquí busque y elimine la siguiente entrada: "TrayX"="%Windir%\winppr32.exe /sinc" Nuevamente en el panel de la izquierda abra la siguiente ruta: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Marque la carpeta Run, y en el panel de la derecha busque y elimine la siguiente entrada: "TrayX"="%Windir%\winppr32.exe /sinc". Cierre el Editor de Registro y reinicie la computadora. Cuando haya iniciado Windows, abra el Explorador de Windows, localice y elimine los siguientes archivos: c:\windows\winppr32.exe c:\windows\winstt32.dat c:\windows\winstf32.dll Haga clic con el botón derecho sobre el icono de "Papelera de reciclaje" en el escritorio y seleccione "Vaciar la papelera de reciclaje". Elimine los mensajes de correo con las características descritas del mensaje por el que el gusano se propaga, y vacíe la papelera del cliente de correo. (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. Redlof 2. Sobig.f 3. LoveLetter 4. Pate.b 5. Pate 6. Lovgate.f 7. Klez.h 8. Kwbot.worm 9. Nimda.eml 10. Exploit-ByteVerify  Lovsan.A (MSBlast, Blaster.Worm, Poza) Lovsan es un gusano que utiliza una vulnerabilidad en el RPC (Remote Procedure Call) en los sistemas Windows 2000 y Windows XP. Esta vulnerabilidad puede permitir a un atacante ejecutar códigos en la máquina infectada. Se transmite a través de los puertos TCP 135, TCP 4444, UDP 69. Este gusano intenta ejecutar ataques de negación de servicio contra la red de Microsoft en la que se puede descargar el parche necesario para corregir la vulnerabilidad. Además puede causar inestabilidades en el sistema, incluyendo su apagado automático. Cómo combatirlo Si es usuario de Windows 2000 o XP, descargue el parche correspondiente de la siguiente dirección: http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp Symantec a puesto a disposición del público una herramienta gratuita para la remoción de este gusano. Se puede descargar en la siguiente dirección: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html Para eliminar el Lovsan.A manualmente, primero se debe terminar el proceso en la memoria. Se oprimen simultáneamente las teclas Control, Alt y Supr (Ctrl, Alt, Del). Se abrirá el administrador de tareas, en el que se hace clic en la pestaña Procesos. En la lista de procesos se ordena por nombre y se busca en la lista el proceso msblast.exe. Se marca y se oprime el botón Terminar proceso. Se cierra el administrador de tareas. Luego se debe eliminar la entrada en el Registro de Windows que el gusano introduce para ejecutarse cada vez que se inicia Windows. Se hace clic en Inicio (Start). Se elige Ejecutar, y en la ventana que se abre se escribe Regedit. Se oprime Aceptar. Ésto abrirá el Editor de Registro. En el Editor, en el panel de la izquierda se abre la siguiente ruta: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Se marca la carpeta Run para ver su contenido a la derecha. Se busca la entrada "windows auto update"="msblast.exe". Se hace clic en ella con el botón derecho del mouse y se elige Eliminar (Delete). Se cierra el Editor de Registro. Se revisa la computadora con uno o más programas de antivirus actualizados. (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. Redlof 2. LoveLetter 3. Pate.b 4. Exploit-ByteVerify 5. Nimda.eml 6. Valla.b 7. Winur.worm.gen 8. Klez.h 9. Pate 10. Elkern.cav.c  Mapson.C Mapson.C es un gusano que se envía masivamente a sí mismo a todos los contactos de la lista del MSN Messenger. El asunto del mensaje, el contenido y el nombre del archivo adjunto pueden variar, aunque el adjunto tiene las extensiones .com., .exe, .scr o .pif. También intenta propagarse a través de los programas de intercambio de archivos de las redes de KaZaA, KaZaA Lite, eDonkey2000, Gnucleus, Limewire, Morpheus, y Grokster, así como por medio del ICQ. Además intenta finalizar programas populares de antivirus, cortafuegos y otros sistemas de monitoreo. Cuando Mapson.C es activado, intenta copiarse en directorio del sistema de Window con los siguientes nombres: analysis_mzn6.pif animation-simpsons.scr Cards_love.pif counsels.pif documents.scr friends.pif hoax-list.com IEXPLORER_STACK.pif Ivalue-much.pif jokess.scr Lorena.exe love-forever.pif my_best_friend.pif NSPCLEAN.exe OsamaBinLadenJokes.scr Photookosmike.scr reality_dreams.pif real_love.scr sexual_steps.pif steps.pif También se copia en el directorio raíz (C:) como Mark.vxd, y añade el valor LOAD32"=(Carpeta de Windows)\Lorena.exe al registro de Windows para ejecutarse cuando se enciende la computadora. Además intenta copiarse en los directorios de programas de intercambio de archivos mencionados, con los siguientes nombres: Ad-aware .exe AOL Instant Messenger (AIM).exe Avril Lavigne Fucked Bitch.exe Biromsoft WebCam .exe Copernic Agent .exe Delphi 6 Serial.exe Diet Kaza .exe DirectDVD .exe Download Accelerator Plus.exe Global DiVX Player .exe Grokster.exe ICQ Lite .exe ICQ Pro 2003a beta .exe iMesh .exe Kaspersky Antivirus Crack.exe Kazaa 2.05 beta .exe Kazaa Download Accelerator .exe Kazaa Media Desktop .exe Mcafee Serial.exe Microsoft Internet Explorer .exe Microsoft Office XP Serial.exe Microsoft Windows 2003 Serial.txt .exe Microsoft Windows Media Player .exe Morpheus .exe Msn Hack.exe Nero Burning ROM .exe Network Cable e ADSL Speed .exe NOD32 Antivirus Crack.exe Norton Antivirus Crack.exe Office 2003 Serial.exe PerAntivirus Crack.exe Pop-Up Stopper .exe QuickTime .exe Registry Mechanic.exe Shakira Sucks.jpg.exe SnagIt .exe Sofía Vergara Sexy Bikini.exe Spybot - Search & Destroy .exe StarCraft No CD Crack.exe Trillian .exe Visual Studio Net Serial.exe Winamp.exe WinMX .exe WinZip.exe WS_FTP LE (32-bit) .exe XoloX Ultra .exe ZoneAlarm Full Version.exe Si la fecha del sistema es el cuatro de cualquier mes, el gusano creará el archivo lorraine.c.hta en el directorio raíz, e intentara descargar un archivo html desde el sitio http:/ /www.gratisweb.com. Además, si la fecha del sistema corresponde al mes de octubre, mostrará estos mensajes: Title: W32/Lorraine.c [GEDZAC LABS 2003] Message: Bi0C0ded by Falckon/GEDZA Title: W32/Lorraine.c [GEDZAC LABS 2003] Message: Lorraine ReC0deD and Reloaded :P Cómo combatirlo Haga clic en el botón de Inicio (Start), elija Ejecutar (Run) y en la ventana que se abre escriba REGEDIT. Oprima Aceptar (Enter). Esto abrirá el Editor de Registro. (Los cambios en el Editor deben realizarse con cuidado para no afectar el funcionamiento del sistema.) Una vez en el Editor, en el panel de la izquierda abra la siguiente ruta: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run. Marque la carpeta Run y en el panel de la derecha, busque y elimine la entrada LOAD32 = c:\windows\system\Lorena.exe. Cierre el editor de registro. Luego reinicie la computadora y revísela con uno o varios programas de antivirus actualizados. (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. Redlof 2. Pate.b 3. Nimda.eml 4. Mapson 5. Klez.h 6. Valla 7. Elkern.cav.c 8. Pate 9. Exploit-ByteVerify 10. Nimda  Bugbear.B Bugbear.B es una variante del Bugbear.A; se trata de un gusano que se envía masivamente por medio de correo electrónico y a través de recursos compartidos de red. Utiliza su propio motor SMTP, por lo que no necesita los clientes de correo de la máquina infectada para enviarse por correo. Se aprovecha de una vulnerabilidad de Internet Explorer 5.01 y 5.5, con la que puede ejecutarse con solo leerlo o al examinarlo en vista previa en un cliente de correo, como Outlook. Otra de sus características es el de ser polimórfico, lo cual dificulta su detección por programas de antivirus, e infecta varios programas. Posee algunas características de troyano, que le permiten entre otras cosas, capturar lo tecleado por la víctima, obteniendo de este modo información confidencial. También abre un puerto que permite la manipulación por operadores remotos. Además intenta terminar los procesos de varios programas de antivirus y cortafuegos. Puede adjuntarse a los mensajes de correo que son enviados, y a los mensajes pasados, con los cuales se envía como un archivo con doble extensión, terminando en .exe, .scr o . pif, y tomando el nombre de algún archivo de la carpeta Mis Documentos. También puede tomar la apariencia de una respuesta a un mensaje, mostrando una dirección de correo tomada de la máquina infectada. En otros casos se envía como un mensaje en blanco, con uno de los siguientes títulos: Hello! update hmm.. Payment notices Just a reminder Correction of errors history screen Announcement various Introduction Interesting... I need help about script!!! Stats Please Help... Report Membership Confirmation Get a FREE gift! Today Only New Contests Lost & Found bad news wow! fantastic click on this! Market Update Report empty account My eBay ads Cows 25 merchants and rising CALL FOR INFORMATION! new reading Sponsors needed SCAM alert!!! Warning! its easy free shipping! News Daily Email Reminder Tools For Your Online Business New bonus in your cash account Your Gift Re: 0 FREE Bonus! Your News Alert Hi! Get 8 FREE issues - no risk! Greets! Cómo combatirlo Symantec ha puesto a disposición del público una herramienta gratuita para eliminar el virus Bugbear.B. Puede encontrarse en la pagina correspondiente en el sitio de Symantec. Para prevenir la infección, se debe tener extremo cuidado al abrir archivos adjuntos recibidos en el correo. Los clientes de correo como Outlook y Outlook Express deben tener desactivada la ventana de previsualización. También se debe tener presente que, aunque el mensaje parezca provenir de una persona conocida, puede haber sido producida por un virus. Los programas de antivirus deben ser actualizados con frecuencia. Es necesario instalar las últimas actualizaciones de Internet Explorer. Pueden encontrarse en el sitio de Microsoft. (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. Supova.worm 2. Redlof 3. Pate.b 4. Nimda.eml 5. Klez.h 6. Bugbear.b 7. Pate.a 8. Elkern.cav.c 9. Nimda.htm 10. Kwbot.worm.c  Fizzer El gusano Fizzer ha aparecido en los últimos días, en los que se ha extendido en varios países asiáticos y en los Estados Unidos. Fizzer se envía masivamente por medio del correo electrónico, usando las direcciones de Outlook y de Windows, en un mensaje de formato variado. Puede activarse en sistemas operativos Windows 95, 98, ME, NT, 2000 y XP. Fizzer está compuesto de varios módulos, que ejecutarán diversas acciones en tiempos diferentes. Contiene una rutina que permite la conección a un hacker remoto por medio de mICR, captura pulsaciones del teclado, intenta propagarse por medio de la red de Kazaa, y trata de detener los procesos de los antivirus. El mensaje por medio del cual se propaga puede tener varios títulos, como los siguientes: why? Re: You might not appreciate this... Re: how are you? Fwd: Mariss995 Re: The way I feel - Remy Shand El archivo adjunto que contiene el ejecutable del gusano puede tener las extensiones .exe. .scr y .pif. Al ser ejecutado instala varios archivos en el directorio de Windows, e introduce una clave en el registro de Windows para ser ejecutado cada vez que se reinicie la computadora, y otra para activarse cuando se abre un archivo de extensión .txt. En Windows NT, 2000 y XP, el crea un servicio llamado S1TRACE. Cómo combatirlo Symantec ofrece una herramienta para eliminar el gusano Fizzer. Puede ser obtenida en la página correspondiente en Symantec. Si se desea removerlo manualmente, primero se termina el proceso del gusano Fizzer. Se abre el administrador de tareas de Window (Ctrl+Alt+Del). En el administrador se abre la sección de procesos, se busca el proceso iservc.exe, se marca y se oprime el botón Terminar Tarea, o Terminar Proceso, dependiendo de la versión de Windows. Se cierra el administrador de tareas. Para eliminar las entradas del virus en el Registro, se abre el Editor de Registro. Se hace clic en el botón de Inicio (Start), se elije Ejecutar (Run) y en la ventana de ejecución se escribe Regedit. Se oprime Aceptar (OK). La ventana de ejecución también puede abrirse más rápidamente oprimiendo al mismo tiempo la tecla de Windows y la tecla R. Se debe tener cuidado cuando se hagan cambios en el Registro de Windows, pues un error puede afectar el funcionamiento de la computadora. Una vez que se ha abierto el Editor de Registro, en el panel de la izquierda se abren las carpetas y subcarpetas siguiendo esta ruta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion. En CurrentVersion se marca la carpeta \Run para ver su contenido en el panel de la derecha. En este panel, bajo la columna de Nombre, se busca la entrada SystemInit, se hace clic en ella con el botón derecho del mouse y se elije Eliminar. A continuación, en el panel de la izquierda, se abre la siguiente ruta: HKEY_CLASSES_ROOT\txtfile\shell\open. Se marca la carpeta \command para ver su contenido en el panel de la derecha, y en la columna de Nombre se localiza, pero no se elimina, la clave (Predeterminado). En esta clave se hace clic con el botón derecho del mouse, y se elije Modificar. La información del valor se cambia a C:\WINDOWS\NOTEPAD.EXE %1. (Si Windows fue instalado en una carpeta diferente a C:\Windows, se debe escribir la ruta correspondiente.) Otra vez en el panel de la izquierda, se abre la ruta HKEY_CLASSES_ROOT\Applications. En Applications, siempre en el panel de la izquierda, se localiza la carpeta ProgOp.exe, y se elimina. Luego se cierra el Editor de Registro, confirmando los cambios si se pregunta. Reinicie la computadora. Se abre el Explorador de Windows. (Se puede hacer rápidamente oprimiendo al mismo tiempo la tecla de Windows y la tecla E.) Con el Explorador se examina la carpeta en la que está instalado el sistema de Windows. (Usualmente es C:\Windows). En esta carpeta se buscan y se eliminan los siguientes archivos: ISERVC.KLG INITBAK.DAT ISERVC.EXE ISERVC.DLL PROGOP.EXE Para finalizar, en el escritorio se hace clic con el botón derecho del mouse en la papelera y se elije la opción "Vaciar la papelera de reciclaje". (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. Redlof 2. Elkern.cav.c 3. Gorum.gen 4. Lovgate.f 5. LoveLetter 6. Klez.h 7. Pate 8. Fizzer.gen 9. Nimda 10. Pate.b  Lovgate Éste es una variante del gusano Lovgate.a. Además de transmitirse por computadoras conectadas a una red local, se transmite por correo electrónico usando su propio motor SMTP y comandos MAPI. En los mensajes simula ser una respuesta a uno enviado previamente, al que el gusano se une como un archivo adjunto con uno de los siguientes nombres: fun.exe images.exe news_doc.exe s3msong.exe pics.exe billgt.exe midsong.exe PsPGame.exe hamster.exe setup.exe tamagotxi.exe joke.exe docs.exe searchurl.exe card.exe pics.exe También actúa como puerta trasera puerta trasera, abre el puerto 10168 y envía un mensaje a un usuario remoto, que puede así obtener datos de la computadora y ejecutar programas en la misma. En los sistemas Windows 95 y 98, el gusano oculta su presencia, registrándose como un servicio en proceso. Cómo combatirlo Symantec ha puesto a disposición del público una herramienta para remover el Lovgate. Esta herramienta se puede descargar desde la página correspondiente en Symantec. Si se desea remover manualmente, se debe eliminar las entradas en el Registro de Windows y en el archivo Win.ini. Se debe actuar con gran cautela, pues una entrada errónea puede afectar el funcionamiento correcto de Windows. Para eliminar la entrada del Registro de Windows haga clic en el botón de Inicio (Start), elija Ejecutar (Run) y en la ventana que se abre escriba Regedit. Oprima Aceptar. Ésto abrirá el editor del registro de Windows. En el Editor de Registro, abra las carpeta y subcarpetas en el panel de la izquierda, siguiendo esta ruta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Marque la carpeta Run para ver su contenido en el panel de la derecha. En este panel elimine las entradas siguientes: syshelp WinGate initialize Module Call initialize Otra vez en el panel de la izquierda abra las carpetas siguiendo esta ruta: HKEY_CLASS_ROOT\txtfile\shell\open\command. Marque la carpeta Command y en el panel de la derecha cambie el valor a notepad.exe %1 En el panel de la izquierda abra las carpeta según esta ruta: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows. Marque la carpeta Windows y en el panel de la derecha elimine el valor Run. En el panel de la izquierda, abra las carpetas HKEY_LOCAL_MACHINE\Software. En Software elimine la entrada KittyXP.sql. En la ruta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services elimine la entrada dll_reg. Cierre el Editor de Registro. Si se usa Windows 95, 98 o Me, se debe eliminar el valor añadido por el gusano en el archivo Win.ini. Nota: En Windows Me se puede haber creado un respaldo del archivo Win.ini. Es recomendable eliminar este respaldo antes de realizar la edición del archivo. Para eliminarlo se busca con el Explorador de Windows en la carpeta C.\Windows\Recent folder. Se selecciona esta carpeta para ver su contenido, se busca el archivo Win.ini y se elimina. Al terminar el procedimiento siguiente se creará automáticamente un nuevo respaldo. Haga clic en el botón de inicio, elija Ejecutar (Run) en el menú, y en la ventana de diálogo escriba lo siguiente: edit c:\windows\win.ini. Oprima Aceptar. Ésto abrirá una ventana de DOS para editar el archivo Win.ini. Si Windows está instalado en otro directorio, se debe escribir la dirección correspondiente en la ventana de ejecución. En la sección [windows] del archivo, busque una entrada semejante a la siguiente: run=rpcsrv.exe. Si esta entrada existe, seleccione únicamente el texto, y oprima la tecla Suprimir (Delete). Haga clic en File y elija Save. Luego haga clic nuevamente en File y elija Exit. Tras finalizar los procedimientos anteriores, reinicie la computadora y revísela con uno o más programas de antivirus actualizados. (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales). Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. Redlof 2. Loveletter 3. Lovgate.f 4. Pate.b 5. Nimda.eml 6. Klez.h 7. Pate 8. Elkern.cav.c 9. FunLove.gen 10. Exploit-ByteVerify  Parite Parite es un virus no destructivo que se añade a los archivos .xe y .scr. Es conocido también como Pinfi y Pate. Consiste en un depositador y el virus en sí mismo. Cuando se ejecuta un programa infectado, el virus se añade a Explorer.exe para instalarse en la memoria. Luego busca archivos .exe y .scr en el disco duro de la máquina y en los recursos compartidos de red, para infectarlos. Incluye un algoritmo para empezar la infección un tiempo después de haberse activado, y solo infecta algunos programas cada vez. Altera también el registro de Windows, añadiendo su clave en la carpeta correspondiente al Explorer. Además de aumentar así el tamaño de estos archivos, Parite no tiene otras consecuencias. Parite se propaga principalmente por el intercambio de programas. Aunque no tiene capacidad de propagarse por medio del correo electrónico, se han reportado casos en los que infecta al virus Nimda, que lo lleva consigo al transmitirse por correo. Cómo combatirlo Manualmente se puede eliminar la clave de registro creada por Parite. Se oprime el botón de Inicio (Start), se elije Ejecutar (Run) y en la ventana que se abre se escribe Regedit. Al abrirse el Editor de Registro se abre en el panel de la izquierda la ruta HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion. En la carpeta CurrentVersión se marca Exporer para ver su contenido en el panel de la derecha. Ahí se busca la clave identificada como Pinf. Al finalizar se cierra el editor de Registro. Sin embargo el virus permanecerá en los archivos infectados, y se activará cuando estos programas se ejecuten. Para eliminarlo adecuadamente se requiere el uso de uno o más programas de antivirus actualizados. (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. Redlof 2. LoveLetter 3. Klez.h 4. Nimda.eml 5. Pate.b 6. Elkern.cav.c 7. Nimda.htm 8. Dupator 9. Klez 10. NoClose  Sobig.A Sobig.A es un gusano que se envía a todas las direcciones de correo que encuentra en archivos .txt, .eml, .html, .htm, .dbx, y .wab. También intenta transmitirse a otras máquinas conectadas en un red interna. El mensaje tiene las siguientes características: El asunto puede ser uno de los siguientes: Re: Movies Re: Sample Re: Document Re: Here is that sample El archivo adjunto puede tener uno de los siguientes nombres: Movie_0074.mpeg.pif Document003.pif Untitled1.pif Sample.pif Cómo combatirlo Symantec ofrece una herramienta para eliminar este virus. Para ir a la página correspondien haz clic aquí. Para removerlo manualmente: Haga clic en el botón de Inicio (Start), elija Ejecutar (Run) y en la ventana que se abre escriba REGEDIT. Oprima Aceptar (Enter). Esto abrirá el Editor de Registro. (Los cambios en el Editor deben realizarse con cuidado para no afectar el funcionamiento del sistema.) Una vez en el Editor, en el panel de la izquierda abra la siguiente ruta: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run. Selecione la carpeta Run, y en el panel de la derecha busque y elimine la o las entradas que contienen WindowsMGM. Otra vez en el panel de la izquierda, abra la siguiente ruta: HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run. Seleccione la carpeta Run, y en el panel de la derecha busque y elimine la o las entradas que contienen WindowsMGM. Cierre el Editor de Registro. Para eliminar los archivos ejecutables del gusano, abra el buscador de Windows. Para esto oprima el botón de Inicio, seleccione Buscar (Search o Find, dependiendo de la versión de Windows), y una vez que se haya abierto el buscador, indique la unidad de disco duro que contiene Windows, y en nombres de archivo escriba dwn,dat;sntmls.dat. Oprima aceptar. Una vez que se hayan encontrado los archivos, haga clic con el botón derecho sobre cada uno de ellos y elija la opción Eliminar (Delete). (Nota: Los usuarios de Windows ME y XP deben seguir estas Instrucciones Adicionales) Los virus más difundidos Éstos son los virus más difundidos en el mundo en este momento, según datos de McAffee: 1. Loveletter 2. Redlof 3. Yaha 4. Klez.h 5. Nimda.eml 6. Supova.worm 7. Klez 8. Gorum.gen 9. Elkern.cav.c 10. Benjamin.worm |
|||||||||||
