miércoles, octubre 12, 2005

noticias

 
:: Noticia del Día
Hacía el Día Mundial de Internet
 
 
 

lunes, octubre 10, 2005

Noticias

Lunes 10 de octubre de 2005
:: Noticia del Día
Aparece un virus para la PSP
 
 

VSantivirus No. 1921 Año 9, lunes 10 de octubre de 2005

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
1 - Appdisabler.C. Elimina aplicaciones de celulares
2 - Fontal.E. Impide que el teléfono móvil se reinicie
3 - Fontal.F. Impide que el teléfono móvil se reinicie
4 - Cabir.AB. Se propaga por celulares vía Bluetooth
5 - Cabir.AA. Se propaga por celulares vía Bluetooth
6 - SdBot.DWF. Controla el PC de forma remota via IRC

domingo, octubre 09, 2005

VSantivirus No. 1920 Año 9, domingo 9 de octubre de 2005

Santivirus No. 1920 Año 9, domingo 9 de octubre de 2005
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Cardblock.A. Bloquea memorias MMC de celulares
2 - Hupigon.HI. Caballo de Troya de acceso remoto
3 - Exploit.Mht.BH. Explota vulnerabilidad en MHTML
4 - Bobax.AG.dropper. Libera al gusano Win32/Bobax.AG
_____________________________________________________________

1 - Cardblock.A. Bloquea memorias MMC de celulares
_____________________________________________________________

http://www.vsantivirus.com/cardblock-a.htm

Nombre: Cardblock.A
Nombre NOD32: SymbOS/Cardblock.A
Tipo: Caballo de Troya
Alias: Cardblock.A, SymbOS/Cardblock.A, SymbOS.Cardblock.A
Fecha: 4/oct/05
Plataforma: EPOC, Nokia Series 60
Tamaño: 35,558 bytes

Troyano que afecta teléfonos móviles Nokia Series 60. Cuando
se ejecuta, genera una contraseña al azar para la tarjeta de
memoria MultiMediaCard del dispositivo móvil (MMC memory
card), bloqueando su utilización después que el teléfono es
reiniciado.

También borra archivos críticos del sistema, direcciones y
carpetas de mensajes.

En la mayoría de los casos, el móvil debe ser llevado al
servicio técnico para su completa recuperación. De todos
modos la información eliminada no podrá ser recuperada. Esto
incluye utilidades instaladas, números de teléfono agendados
y otros datos importantes.

Algunos teléfonos como Nokia 6670 y Nokia 6600, pueden
sobrevivir el borrado de los directorios del sistema, y con
un simple reinicio volver a la normalidad, aunque los datos
del usuario y el contenido de la memoria MMC se pierden.

Otros teléfonos que utilizan versiones mas recientes del
SymbOS, tales como Nokia 6630, no podrán recuperarse debiendo
ser llevados al servicio técnico.

El troyano se presenta como una versión pirata de la utilidad
InstantSiS con el siguiente nombre:

instantsis.v2.1.cracked.by.binzpda.sis

InstantSiS es una herramienta que permite rempaquetar
archivos SIS para copiarlos a otros dispositivos. La
extensión .SIS es utilizada por el sistema operativo EPOC
para las instalaciones.

Al ejecutarse, el troyano crea los siguientes archivos:

System\apps\InstantSis\ClauSis.dll
System\apps\InstantSis\InstantSis.aif
System\apps\InstantSis\InstantSis.app
System\apps\InstantSis\InstantSis.rsc
System\apps\InstantSis\InstantSis.rsc.xxx
System\apps\InstantSis\InstantSis_caption.rsc
System\apps\InstantSis\InstantSis_caption.rsc.xxx
System\apps\InstantSis\Licence.txt
System\help\InstantSis.hlp

También borra las siguientes carpetas del dispositivo:

C:\system\install
C:\system\data
C:\system\libs
C:\system\mail
C:\system\bootdata

* Eliminación manual

Para eliminar el troyano de un dispositivo infectado, siga
estos pasos:

1. Utilice algún administrador de archivos (debe tener
habilitada la opción de ver los archivos en el directorio del
sistema).

NOTA: Se sugiere descargar el "PC File Manager"
correspondiente a su teléfono móvil desde el siguiente
enlace:

http://www.epocware.com/company/productmap.html

2. Borre los siguientes archivos:

System\apps\InstantSis\ClauSis.dll
System\apps\InstantSis\InstantSis.aif
System\apps\InstantSis\InstantSis.app
System\apps\InstantSis\InstantSis.rsc
System\apps\InstantSis\InstantSis.rsc.xxx
System\apps\InstantSis\InstantSis_caption.rsc
System\apps\InstantSis\InstantSis_caption.rsc.xxx
System\apps\InstantSis\Licence.txt
System\help\InstantSis.hlp

Aunque el sistema por defecto se instala en la unidad C, esto
puede cambiar en algunos casos.

La forma de recuperar los archivos del sistema eliminados,
puede variar en cada modelo, siendo necesaria la mayoría de
las veces, la intervención del servicio de mantenimiento del
proveedor del teléfono móvil.

La perdida de la información borrada, puede ser la mayoría de
las veces, irreversible. Esto incluye el contenido de la
memoria MMC.

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Hupigon.HI. Caballo de Troya de acceso remoto
_____________________________________________________________

http://www.vsantivirus.com/hupigon-hi.htm

Nombre: Hupigon.HI
Nombre NOD32: Win32/Hupigon.HI
Tipo: Caballo de Troya de acceso remoto
Alias: Hupigon.HI, Backdoor.Darkmoon, Backdoor.Hupigon.HI,
Backdoor.Hupigon.hi, BackDoor.Pigeon.83,
Backdoor.Win32.Hupigon.hi, Backdoor-Server/Hupigon.HI,
BDS/Hupigon.HI, Troj/GrayBrd-AC, Trojan.Hupigon.Hi,
Win32/Hupigon.HI
Fecha: 7/oct/05
Plataforma: Windows 32-bit
Tamaño: 295,305 bytes (NSPACK, ASPACK)

Caballo de Troya que no se propaga por si mismo. Puede llegar
a nuestro PC al ser copiado manualmente en el sistema, o al
ser descargado intencionalmente o mediante engaños de algún
sitio malicioso, o de redes de intercambio de archivos P2P,
generalmente disfrazado como una aplicación.

Un usuario malintencionado, también podría enviar el troyano
a su víctima en un mensaje electrónico individual o
masivamente por medio de spam a otros usuarios.

Cuando se ejecuta, el troyano abre una puerta trasera que
permite a un usuario remoto tomar el control total del equipo
infectado.

Crea una carpeta "RavExt" dentro de la carpeta del sistema de
Windows, y se copia allí, y liberando dos DLL, todos con
atributos de solo lectura (+R), sistema (+S) y oculto (+H):

c:\windows\system32\RavExt\winlogo.exe
c:\windows\system32\RavExt\[nombre al azar 1].dll
c:\windows\system32\RavExt\[nombre al azar 2].dll

También se puede crear otro DLL en la carpeta del sistema:

c:\windows\system32\[nombre al azar 3].dll

NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

El archivo WINLOGO.EXE es registrado como un servicio con las
siguientes características:

Nombre de servicio: Internet
Nombre para mostrar: Windows Internet/Server
Ruta de acceso al ejecutable: [camino]\winlogo.exe

Para ello crea la siguiente entrada:

HKLM\SYSTEM\CurrentControlSet\Services\Internet\

El troyano permite a un intruso las siguientes acciones:

- Acceder a los archivos del equipo infectado.
- Capturar pantallas y también video (si existe una webcam).
- Capturar salida del teclado.
- Descargar, instalar y ejecutar silenciosamente otros
programas.
- Escuchar por el micrófono del sistema.
- Modificar las configuraciones por defecto del Internet
Explorer.
- Robar información confidencial.

* Reparación manual

NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.

* Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm

* Antivirus

Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.

4. Borre todos los archivos detectados como infectados.

* Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".

Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".

* Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Internet

3. Haga clic en la carpeta "Internet" y bórrela.

4. Grabe los cambios y salga del bloc de notas

5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de
"temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.

5. haga clic con el botón derecho sobre el icono de la
"Papelera de reciclaje" en el escritorio, y seleccione
"Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

* Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet Haga clic en "Eliminar
archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.

* Procedimiento para restaurar página de inicio y página de
búsqueda en Internet Explorer

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Haga clic en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Haga clic en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también
la página inicio" y seleccione el botón SI.

7. Haga clic en "Aceptar".

* Cambiar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde
Herramientas, Opciones de Internet, General, Página de
inicio, por una de su preferencia (o haga clic en "Página en
blanco"). O navegue hacia una página de su agrado, haga clic
en Herramientas, Opciones de Internet, General, y finalmente
haga clic en "Usar actual".

* Cambiar las páginas de búsqueda del Internet Explorer

1. Inicie el Internet Explorer.

2. Haga clic en el botón "Búsqueda" de la barra de
herramientas.

3. En el panel que se despliega (Nuevo, Siguiente,
Personalizar), seleccione "Personalizar".

4. Asegúrese de marcar "Utilizar el asistente de búsqueda"
(Use Search Assistant).

5. Haga clic en el botón "Reiniciar" (Reset).

6. Haga clic en el botón "Configuración de Autosearch"
(Autosearch Settings).

7. Elija un proveedor de búsquedas en el menú (Search
Provider).

8. Seleccione "Aceptar" hasta salir de todas las opciones.

* Información adicional

* Cambio de contraseñas

En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.

* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.

4. Seleccione Aceptar, etc.

* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - Exploit.Mht.BH. Explota vulnerabilidad en MHTML
_____________________________________________________________

http://www.vsantivirus.com/exploit-mht-bh.htm

Nombre: Exploit.Mht.BH
Nombre NOD32: HTML/Exploit.Mht.BH
Tipo: Caballo de Troya (Exploit)
Alias: Exploit.Mht, Exploit.Mht.BH, Exploit.HTML.Mht,
Exploit.Html.MhtRedir.Gen, Exploit.HTML.MHTRedir-8,
Exploit/MIE.CHM, Exploit-MhtRedir.gen,
HTML.MHTMLRedir!exploit, HTML/Exploit.Mht.BH,
HTML/Exploit.OBJ-Mht, HTML/MHTMLRedir!Exploit,
HTML/MHTRedir.A, MHTMLRedir.Exploit, Troj/Rider-I,
Win32:Mhtplo-26
Fecha: 7/oct/05
Plataforma: Windows 32-bit
Tamaño: variable

Esta detección cubre código diseñado para explotar una
conocida vulnerabilidad en Internet Explorer, a través de un
script insertado en una página HTML.

La vulnerabilidad es causada por un error en el manejador
MHTML, que permite procesar cualquier archivo, incluido
texto, como si fuera un HTML. De este modo es posible incluir
un script que puede descargar y/o ejecutar archivos locales
de forma remota, con el mismo nivel de seguridad que el
usuario actual.

MHTML (MIME Encapsulation of Aggregate HTML), es un estándar
que define la estructura MIME usada para el envío de
contenido HTML en los mensajes de correo electrónico. MIME
(Multipurpose Internet Mail Extensions), es a su vez, un
protocolo que especifica la codificación y formato de los
contenidos de los mensajes.

La ejecución vía Web también es posible, debido a que
Internet Explorer utiliza el mismo manejador.

Microsoft publicó en su momento un parche para esta
vulnerabilidad:

Vulnerabilidad en manipulador MHTML de Outlook Express
http://www.vsantivirus.com/vulms03-014.htm

MS04-013 Parche acumulativo para Outlook Express (837009)
http://www.vsantivirus.com/vulms04-013.htm

* Reparación manual

NOTA: Tenga en cuenta que de acuerdo a las acciones
realizadas por el atacante remoto, pueden aplicarse cambios
en el sistema no contemplados en esta descripción genérica.

* Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm

* Antivirus

Actualice sus antivirus con las últimas definiciones, luego
siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.

4. Borre todos los archivos detectados como infectados.

* Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos
detectados en el punto 3 del ítem "Antivirus".

Haga clic con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".

* Información adicional

* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.

4. Seleccione Aceptar, etc.

* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

4 - Bobax.AG.dropper. Libera al gusano Win32/Bobax.AG
_____________________________________________________________

http://www.vsantivirus.com/bobax-ag-dropper.htm

Nombre: Bobax.AG.dropper
Nombre NOD32: Win32/Bobax.AG.dropper
Tipo: Gusano de Internet y caballo de Troya
Alias: Bobax.AG, Bobax.AG.dropper,
Dropped:Win32.Worm.Bobic.M, I-Worm.Bobic.q, Net-
Worm.Win32.Bobic.q, W32/Malware, Win32.Bobax.AL,
Win32/Bobax.AG.dropper, Worm/Bobic.Crypt
Fecha: 7/oct/05
Plataforma: Windows 32-bit
Tamaño: 42,891 bytes

Libera y ejecuta en el sistema una versión del gusano
Win32/Bobax.AG.

Bobax.AG se propaga como adjunto en un mensaje de correo
electrónico. Para ello utiliza su propio motor SMTP.

También utiliza la vulnerabilidad en LSASS.EXE de Windows XP
y 2000, infectando equipos con Windows XP y 2000 sin el
parche correspondiente instalado.

El gusano examina rangos de direcciones IP en busca de
máquinas vulnerables. Si las encuentra, explota un
desbordamiento de búfer en el componente LSASS.EXE para crear
en el equipo remoto un shell (consola de comandos), que
utilizará para descargarse y luego ejecutarse en él. En
ocasiones esto ocasiona un fallo en LSASS.EXE que reiniciará
al equipo.

Cuando se ejecuta, se copia en la carpeta del sistema:

c:\windows\system32\[nombre al azar].exe

También crea las siguientes entradas en el registro para
autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = "c:\windows\system32\[nombre al
azar].exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
[nombre al azar] = "c:\windows\system32\[nombre al
azar].exe"

NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000).

También modifica el archivo HOSTS para que múltiples sitios
relacionados con antivirus y otras aplicaciones de seguridad,
no puedan ser accedidos desde una máquina infectada.

Intenta deshabilitar aplicaciones antivirus y los mensajes
del "Centro de seguridad" de Windows XP SP2, configurando las
siguientes entradas del registro:

HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"

HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusOverride = "dword:00000001"

HKLM\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = "dword:00000001"

HKLM\SOFTWARE\Microsoft\Security Center
FirewallOverride = "dword:00000001"

HKLM\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify = "dword:00000001"

HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\DomainProfile
EnableFirewall = "dword:00000000"

HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\DomainProfile
DoNotAllowExceptions = "dword:00000000"

HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "dword:00000000"

HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
DoNotAllowExceptions = "dword:00000000

Además, intentará descargar de Internet algunos archivos no
maliciosos.

Cuando el gusano se ejecuta, no es visible en la lista de
procesos.

* Reparación manual

* IMPORTANTE:

Descargue y ejecute este parche antes de proceder al resto de
la limpieza, desde el siguiente enlace:

MS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htm

* Cortafuegos

Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm

* Deshabilitar cualquier conexión a Internet o una red

Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.

* Antivirus

Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:

1. Reinicie Windows en modo a prueba de fallos, como se
indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos
detectados como infectados.

4. Borre todos los archivos detectados como infectados.

* Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Datos", busque y borre toda entrada que haga
referencia a los archivos detectados en el punto 3 del ítem
"Antivirus".

4. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Haga clic en la carpeta "RunServices" y en el panel de la
derecha, bajo la columna "Datos", busque y borre toda entrada
que haga referencia a los archivos detectados en el punto 3
del ítem "Antivirus".

6. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Security Center

7. Haga clic en la carpeta "Security Center" y en el panel de
la derecha, bajo la columna "Datos", busque y cambie los
valores para las siguientes entradas del registro, de modo
que todas valgan "0":

AntiVirusDisableNotify = 0
AntiVirusOverride = 0
FirewallDisableNotify = 0
FirewallOverride = 0
UpdatesDisableNotify = 0

8. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
\Parameters
\FirewallPolicy
\DomainProfile

9. Haga clic en la carpeta "DomainProfile" y en el panel de
la derecha, borre las siguientes entradas:

EnableFirewall
DoNotAllowExceptions

10. En el panel izquierdo del editor, haga clic en el signo
"+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\SharedAccess
\Parameters
\FirewallPolicy
\StandardProfile

11. Haga clic en la carpeta "StandardProfile" y en el panel
de la derecha, bajo la columna "Datos", busque y cambie los
valores para las siguientes entradas del registro, de modo
que queden con los siguientes:

EnableFirewall = 1
DoNotAllowExceptions = 0

12. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.

13. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).

* Información adicional

* Cambio de contraseñas

En el caso de haber sido infectado con este troyano, se
recomienda llevar a cabo las acciones necesarias a fin de
cambiar todas las claves de acceso, así como toda otra
información que comprometa la información relacionada con
cualquier clase de transacción bancaria, incluidas sus
tarjetas electrónicas y cuentas bancarias.

* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas
conexiones disponibles para conectarse a Internet, y en
"Conexión de Red de Area Local" y seleccione Propiedades en
cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.

4. Seleccione Aceptar, etc.

* Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y haga clic en
'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.

6. Haga clic en 'Aplicar' y en 'Aceptar'.

* Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

Pautas generales para mantenerse alejado de los virus
_____________________________________________________________

Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:

1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones de
la mayoría de los fabricantes son diarias. No existen los
"virus demasiados nuevos y sin antídotos", la reacción de las
casas de antivirus es inmediata en todos los casos. Pero
mejor pregúntese, si la suya también lo es a la hora de
actualizarse.

2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.

3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.

4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.

sábado, octubre 08, 2005

VSantivirus No. 1918 Año 9, viernes 7 de octubre de 2005

VSantivirus No. 1918 Año 9, viernes 7 de octubre de 2005
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
1 - Nueva variante del Sober se propaga masivamente
http://www.vsantivirus.com/ev-07-10-05.htm
2 - En octubre, Microsoft anuncia 9 boletines de seguridad
http://www.vsantivirus.com/adelanto-parches.htm
3 - Bagle.DA. Se propaga por correo electrónico y P2P
http://www.vsantivirus.com/bagle-da.htm
4 - Kelvir.GO. Se propaga por MSN Messenger, crea BOT
http://www.vsantivirus.com/kelvir-go.htm

viernes, octubre 07, 2005

News Friday

 
:: Noticia del Día
Nokia instalará antivirus en móviles
 
 
 
 

jueves, octubre 06, 2005

VSantivirus No. 1916 Año 9, miércoles 5 de octubre de 2005

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
1 - NOD32 antivirus system 64-bit en español (XP y 2003)
2 - Combra.D. Descarga y ejecuta archivos de Internet
3 - Bozori.J. Se propaga usando vulnerabilidad MS05-039
4 - Korgo.AK. Usa vulnerabilidad LSASS, se conecta a IRC
5 - Mytob.KP. Instala BOT y troyano, quita protecciones
6 - Mytob.KQ. Instala BOT y troyano, quita protecciones

Fraudes por internet


Tomen por favor en cuenta esta información que es muy válida para cualquier institución financiera. Los bancos y ninguna entidad oficial piden confirmación de datos personales por e-mail. Es posible confundirse porque manejan URLs con nombres de dominio  casi idénticos. 
A mi me han llegado a solicitar confirmación de datos de mi tarjeta de crédito, pero NO tengo tarjeta de crédito!
 
Subject: Fraudes por internet

>>La mayoría de nosotros realizamos ya transacciones vía Internet y
>>recibimos información de nuestros estados de cuenta y
>>notificaciones bancarias.
>>
>>Por esta razón surgió un tipo de ataque en Internet denominado
>>Phishing,que no es otra cosa que les otorguemos información confidencial de
>>nuestras cuentas, para realizar transacciones ilícitas.
>>
>>Por esta causa les mando un ejemplo de este tipo de ataque,
>>haciéndoles notar que la mayoría de los bancos, trabajan de la misma forma y
>>con los mismos formatos, por lo que el ejemplo nos podrá servir sin
>>importar a que banco tengan sus cuentas.
>>
>>La imagen viene adjunta a este correo.
>>
>>Saludos y buen día.
>>
>>
>>
>>
>

miércoles, octubre 05, 2005

Vulnerabilidad en Kaspersky Antivirus (archivos CAB)

 

VULNERABILIDADES

Vulnerabilidad en Kaspersky Antivirus (archivos CAB)

Una biblioteca utilizada por Kaspersky Antivirus y otros productos licenciados por Kaspersky, es propensa a una vulnerabilidad no especificada, que puede provocar un desbordamiento de búfer en la memoria HEAP (la porción de memoria disponible para un programa, también llamada área de memoria dinámica).

10:47 - 04/10/2005 | Fuente: VS ANTIVIRUS
La vulnerabilidad puede ser explotada de forma remota, y se produce durante el análisis de archivos con extensión .CAB, según informa Vsantivirus.

El problema afecta a todos los productos de Kaspersky que incluyen la biblioteca afectada. Una explotación exitosa del mismo, puede comprometer seriamente los equipos que utilicen las versiones vulnerables del antivirus.

No se conoce al momento actual, la existencia de algún exploit que se aproveche del fallo.


Productos vulnerables:

- Kaspersky Labs Anti-Hacker 1.0
- Kaspersky Labs Anti-Virus 5.0.227
- Kaspersky Labs Anti-Virus 5.0.228
- Kaspersky Labs Anti-Virus 5.0.335
- Kaspersky Labs Antivirus Scanning Engine 3.0
- Kaspersky Labs Antivirus Scanning Engine 4.0
- Kaspersky Labs Antivirus Scanning Engine 5.0
- Kaspersky Antivirus 4.0.9.0
- Kaspersky Antivirus for Linux Servers 3.5.135.2
- Kaspersky Antivirus for Linux Servers 5.0.1.0
- Kaspersky Antivirus for Linux Servers 5.5-2
- Kaspersky Labs SMTP-Gateway for Linux/Unix 5.0
- Kaspersky Labs SMTP-Gateway for Linux/Unix 5.5


Solución:
No se conocen actualizaciones oficiales para esta vulnerabilidad, al momento de publicarse esta alerta.


Referencias:

Kaspersky Antivirus Library Remote Heap Overflow (rem0te.com)
http://www.rem0te.com/public/images/kaspersky.pdf

Kaspersky Anti-Virus Library Unspecified Remote Heap Overflow Vulnerability
http://www.securityfocus.com/bid/14998
 
 
 

martes, octubre 04, 2005

VSantivirus No. 1915 Año 9, martes 4 de octubre de 2005

VSantivirus No. 1915 Año 9, martes 4 de octubre de 2005
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Vulnerabilidad en Kaspersky Antivirus (archivos CAB)
2 - Spy.Agent.HD. Roba información de cuentas bancarias
3 - Lewor.Z. Modifica página de inicio, descarga archivo
4 - Antinny.AQ. Se propaga por redes P2P, borra archivos
5 - Tsipe.R. Roba información, registra servicio porno

New Lunes

Lunes 3 de octubre de 2005
:: Noticia del Día
Nuevo intento de phishing al Banco Popular
 
 
 
 

domingo, octubre 02, 2005

VSantivirus No. 1913 Año 9, domingo 2 de octubre de 2005

VSantivirus No. 1913 Año 9, domingo 2 de octubre de 2005
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
1 - Vulnerabilidad en comunicaciones DDE-IPC de ZoneAlarm
2 - Thunderbird 1.0.7 corrige vulnerabilidad en Linux
3 - TrojanDownloader.Agent.BQ. Descarga otros archivos
4 - Adware.gen. Modifica configuración Internet Explorer

Hotmail


Es normal, cada vez le pasa a más gente... hasta que nos pase a todos.

Microsoft está harto del spam que sale desde sus servidores de Hotmail y ha
quitado el acceso a Hotmail desde Outlook Express... a no ser que se
contrate Hotmail Plus (de pago). Así, si de alguna cuenta sale spam, lo
tienen identificado por el nombre y número de VISA y pueden iniciar
acciones
legales...

sábado, octubre 01, 2005

Fw: Mozilla Firefox 1.0.7 es-ES

Ya esta disponible la actualizacion de seguridad de Mozilla Firefox, esta vez para resolver los problemas que se han comentado en algunas webs de seguridad la semana pasada, muy importante actualizar.

Descarga:

http://download.mozilla.org/?product=firefox-1.0.7&os=win&lang=es-ES (Windows 4.7MB)

http://download.mozilla.org/?lang=es-ES&product=firefox-1.0.7&os=linux (Linux 8.2MB)

http://download.mozilla.org/?lang=es-ES&product=firefox-1.0.7&os=osx (MacOS 8.6MB)

Es recomendable desinstalar cualquier versión anterior antes de instalar la 1.0.7, los datos de usuario se guardan aparte y no se perderán al instalar la nueva versión.


Mozilla Firefox 1.0.7 es el navegador web de nueva generación de Mozilla. Firefox le proporciona una navegación más rápida, más segura y más eficiente que cualquier otro navegador.

Enlaces relacionados:

http://www.mozilla.org

http://www.mozilla-europe.org/es/

http://www.mozillaes.org/

http://www.mozillaes.org/mozillazine/

http://www.spreadfirefox.com/

 

VSantivirus No. 1912 Año 9, sábado 1 de octubre de 2005

VSantivirus No. 1912 Año 9, sábado 1 de octubre de 2005
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
1 - LiteBot.NA. Caballo de Troya de acceso remoto
2 - IRCBot.PC. Controla el equipo infectado vía IRC
3 - Opanki.AV. Utiliza AIM Messenger, ejecuta troyano
4 - Rootkit.Agent.NAB. Permite acceso como administrador
5 - VB.NDH. Libera y ejecuta gusano con texto en español

viernes, septiembre 30, 2005

Fw: noticias


Jueves 29 de septiembre de 2005
:: Noticia del Día
Microsoft se alía con el mayor proveedor de Internet del Gobierno chino
 
 
 
 

jueves, septiembre 29, 2005

Toshiba M60 Proximamente!!

Toshiba ha desarrollado dos nuevos modelos de portátiles multimedia dentro de su gama Satellite. El M50 con carcasa negra y el M60 con carcasa anaranjada. Ambos modelos incorporan tecnología Trubrite, que aporta a la pantalla mayor brillo para mejorar la nitidez de la imagen. Entre ellos, se diferencian en que el Satellite M60 dispone de una pantalla de 17 pulgadas panorámica con una resolución de 1.440 x 900 ppp, mientras que el Satellite M50 presenta un formato panorámico de 14 pulgadas y 1280 x 768 píxeles de resolución. Como tarjetas gráficas, cuentan con la ATI Mobility Radeon X600 SE dotada con tecnología Hypermemory que, en el caso del M60 tiene una capacidad de 256 MB y en el del M50 es de 128 MB. Ambos portátiles incorporan el reproductor Express Media Player, que permite reproducir contenidos audiovisuales sin necesidad de arrancar Windows, evitando usar el disco duro. En cuanto al sistema de sonido, los Satellite están dotados con tecnología SRS TruSurround XT y a dos potentes altavoces Harman Kardon.

VSantivirus No. 1910 Año 9, jueves 29 de setiembre de 2005

VSantivirus No. 1910 Año 9, jueves 29 de setiembre de 2005
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Phishing masivo invoca al Mundial Alemania 2006
2 - Actualización para filtro de Outlook 2003 (KB904631)
3 - VBS/Lubus.A. Se propaga por e-mail, borra archivos
4 - Mytob.KN. Se propaga por email, instala acceso remoto
5 - Mytob.KM. Instala BOT y troyano, quita protecciones

miércoles, septiembre 28, 2005

Actualizaciones Windows XP

Recomendamos realizar todas las actualizaciones disponibles de windows xp, hemos detectado multiples fallas en las actualizaciones de la semana pasada, que en la actual se solucionan, reinicios inesperados son forzados en maquina con conexion a internet con banda ancha de ono.
 
 
Att. Servicio Técnico
 

noticias del miercoles

Miércoles 28 de septiembre de 2005
:: Noticia del Día
La Eurocámara se opone a la retención de datos sobre e-mails y llamadas
 
 
 

martes, septiembre 27, 2005

Ester Genovart

Hola Andreu:
Gràcies per tot, al final ha anat bé l´actualització de l´antivirus.
Adeu.
 

VSantivirus No. 1908 Año 9, martes 27 de setiembre de 2005

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
1 - Internet Explorer 6: vulnerabilidad en XMLHTTP
2 - Mytob.KK. Instala BOT y troyano, quita protecciones
3 - Mytob.KJ. Instala BOT y troyano, quita protecciones
4 - Rbot.BCM. Troyano de acceso remoto controlado via IRC
5 - Rbot.AQU. Troyano de acceso remoto controlado via IRC

Atención : Proximamente oferta de pantallas TFT 19" y monitores de 7" para coche

 

lunes, septiembre 26, 2005

VSantivirus No. 1906 Año 9, domingo 25 de setiembre de 2005


VSantivirus No. 1906 Año 9, domingo 25 de setiembre de 2005
1 - Un gusano podría propagarse por routers Cisco
2 - Bropia.AW. Se propaga por MSN Messenger, crea BOT
3 - KillFiles.HL. Borra diferentes archivos del disco
4 - KillAV.EA. Finaliza procesos de antivirus y firewalls

viernes, septiembre 23, 2005

VSantivirus No. 1904 Año 9, viernes 23 de setiembre de 2005

1 - Usuarios de Firefox, Mozilla y Netscape en peligro
http://www.vsantivirus.com/vul-exploit-idn-220905.htm
Actualizarse a las versiones no vulnerables de Firefox y
Mozilla. Más información:
Firefox 1.0.7 resuelve vulnerabilidades críticas
http://www.vsantivirus.com/firefox-107.htm
Mozilla 1.7.12 resuelve vulnerabilidades críticas
http://www.vsantivirus.com/mozilla-1712.htm
2 - Mozilla 1.7.12 resuelve vulnerabilidades críticas
http://www.vsantivirus.com/mozilla-1712.htm
3 - Eyeveg.S. Gusano y caballo de Troya de acceso remoto
http://www.vsantivirus.com/eyeveg-s.htm
4 - TrojanDownloader.Apher.X. Descarga y ejecuta archivo
http://www.vsantivirus.com/trojandownloader-apher-x.htm

jueves, septiembre 22, 2005

La publicidad web como vía para infectar los sistemas

La publicidad web como vía para infectar los sistemas
-----------------------------------------------------

La publicidad dinámica que muestran las páginas webs a modo de
banners o ventanas está siendo utilizada para hacer llegar a los
usuarios contenidos maliciosos.

En los últimos tiempos se ha visto una clara proliferación en la
utilización de la web como canal para infectar los sistemas y llevar
a cabo estafas de todo tipo. Son muchas las páginas que aprovechan
vulnerabilidades de los navegadores no actualizados, especialmente
Internet Explorer por ser el de mayor implantación, o intentan engañar
a los usuarios con distintas tretas para que instalen los programas
maliciosos.

Hasta la fecha este tipo de infecciones siempre se achacaba a que el
usuario visitaba webs de dudosa procedencia, no confiables. Así los
"dialers", programas que realizan llamadas de tarificación adicional,
se solían relacionar con la navegación por páginas webs de contenidos
adultos, o los troyanos con la descarga de cracks para juegos y
aplicaciones piratas.

Sin embargo a día de hoy se ha diversificado en gran manera los sitios
web que pueden contener malware, una simple descarga de un
salvapantallas o incluso una aplicación antispyware puede esconder en
su interior un programa malicioso.

A diferencia de los métodos de propagación de malware a través del
correo electrónico, donde el programa malicioso llega directamente al
buzón del usuario, la infección a través de los sitios webs requiere
que el usuario vaya a visitar una página determinada.

Las estrategias para llamar la atención del usuario son variadas, la
más habitual consiste en realizar un spam con un mensaje llamativo
para que los usuarios al leerlo se sientan atraídos a visitar la
página web maliciosa. Con la catástrofe del Katrina se han podido
ver varios ejemplos.

Otro de los métodos en boga consiste en hacer llegar los sitios webs
maliciosos a los usuarios a través de publicidad. El resultado es que
los usuarios, visitando webs confiables, pueden visualizar banners
o ventanas que le invitan a instalar supuestas utilidades gratuitas
que en realidad esconden malware.

Normalmente los sitios webs donde aparece esta publicidad maliciosa
no son conscientes de esta práctica, ya que los banners de publicidad
suelen ser gestionados por terceras empresas y se incrustan en sus
páginas de forma dinámica.

Esta práctica constituye un riesgo potencial, ya que el sitio web
no tiene control sobre los contenidos publicitarios. Aunque en los
contratos se establece una política de contenidos, lo cierto es que
en muchas ocasiones a las empresas de publicidad se les cuelan páginas
webs maliciosas, debido a que no existe un control exhaustivo para
evitar este tipo de incidentes.

Para ver un claro ejemplo de como los atacantes aprovechan la
publicidad para intentar instalar programas maliciosos, recomendamos
ver el caso que describimos del conocido sitio de tiras cómicas
dilbert.com en http://blog.hispasec.com/laboratorio/43

VSantivirus No. 1902 Año 9, miércoles 21 de setiembre de 2005

1 - Firefox 1.0.7 resuelve vulnerabilidades críticas
http://www.vsantivirus.com/firefox-107.htm

2 - Opera 8.50 soluciona múltiples vulnerabilidades
http://www.vsantivirus.com/vul-opera-200905.htm

3 - Guap.C. Se propaga por Yahoo! y AOL Instant Messenger
http://www.vsantivirus.com/guap-c.htm

martes, septiembre 20, 2005

Longhorn = Windows Vista

http://www.el-mundo.es/navegante/2005/07/22/empresas/1122042823.html

estafas con el katrina

Mientras millones de personas sufren los estragos del huracán Katrina y muchos más buscan maneras de ayudarlos, algunos estafadores agudizan su ingenio para tratar de interponerse entre ambos grupos y obtener suculentas ganancias. Las autoridades de Estados Unidos comenzaron desde hace más de una semana el trabajo de identificar a estafadores que buscan engañar a quienes desean ayudar a las víctimas y que en su mayor parte han recurrido a internet para llevar a cabo sus delitos. Según datos de la Oficina Federal de Investigación (FBI), el número de páginas que informan o recaban información y dinero para los damnificados por el Katrina superaba la tarde del jueves las 2.300, el doble que dos días antes. El FBI calcula que de los cerca de 800 sitios que ya ha investigado un 60 % son falsos y pueden esconder algún tipo de estafa. Según Dan Larkin, jefe del Centro de Delitos por Internet del FBI, el número de páginas fraudulentas surgidas en torno al desastre del huracán es ya muy superior al detectado el año pasado año tras el maremoto asiático. De acuerdo con el sitio de Internet de protección al consumidor ScamBusters.org , hasta ahora se han presentado ocho tipos de estafas o páginas cibernéticas con mensajes fraudulentos.

Las estafas El primer y más peligroso tipo de estafa son los sitios web que han surgido con nombres como katrinahelp.com y katrinadonations.com , que se dedican a pedir donaciones que iban directamente al bolsillo del estafador. Estos sitios también solicitan información que más tarde puede ser utilizada para otras estafas, como el robo de identidad y el acceso a cuentas bancarias y de tarjetas de crédito.

El segundo delito detectado es el envío de virus informáticos a través de correos electrónicos que supuestamente contienen fotos de la zona del desastre. Estos virus son utilizados para acceder al ordenador del usuario afectado y robarle información sensible.

Un tercer tipo de estafa es la llamada «variación de la comisión nigeriana» que consiste en un correo electrónico en que alguien asegura tener grandes cantidades de dinero retenidas en un banco extranjero y que necesita el pago de una pequeña comisión para poder llevar a cabo el trámite de retirar los fondos. A aquel que acepte la oferta se le promete un porcentaje importante.

Otra estafa es la que promete suculentas ganancias en bolsa a quienes inviertan en algunas acciones con muy bajo precio que al cabo de pocos días, y en vista de las consecuencias del huracán, duplicarán su valor.

Y un quinto caso es el de mensajes de correo que en las primeras líneas entregan información verídica sobre el huracán pero que al poco tiempo dirigen el navegador de Internet a un sitio donde se vende cualquier otro tipo de producto.

GRAFFITIS INFORMÁTICOS

GRAFFITIS INFORMÁTICOS

Necesito psiquiatra para Pentium III que se cree 386.
Evite los virus. Hierva la PC antes de usar.
Mi sistema operativo es multitarea: Acaba con mis nervios y mi paciencia al
mismo tiempo.
Hardware: Lo que golpeas; Software: La causa.
Conecto, luego existo... No conecto, luego insisto.
No hay mail que por bien no venga.
mE ENCANTA CUANDO ME DOY CUENTA DE QUE HE PULSADO BLOQ MAYUS
No por mucho megaRam carga Windows más temprano.
Command.com secuestrado por virus terrorista. Pide 35 MB de disco duro.
Ley del software: Si aprendes a usarlo, sale la siguiente version.
Windows 2006: "Se buscan martires para pruebas".
En la compra de Windows XP le regalamos dos botones de "RESET".
WinErr 0XP - Usuario incompetente. Reemplace de inmediato.
WinErr 943 - El sistema esta funcionando demasiado bien. Elija "cerrar" y
reinicie el equipo.

Oferta Martes Monitor TFT 19" Relisys 249? + iva

Monitor TFT de 19" de la marca relisys de inmejorables caracteristicas, oferta válida solo para el dia de hoy
 
 

lunes, septiembre 19, 2005

VSantivirus No. 1900 Año 9, lunes 19 de setiembre de 2005

Anti Spywares sospechosos o no confiables (18/9/05)
http://www.vsantivirus.com/lista-nospyware.htm