VSantivirus No. 1152 Año 7, Martes 2 de setiembre de 2003
W32/Mapson.D. Se propaga por e-mail, IRC y P2P
http://www.vsantivirus.com/mapson-d.htm
Nombre: W32/Mapson.D
Tipo: Gusano de Internet
Alias: W32/Mapson.D.worm, W32/Lorra.D, W32/Renalo.D, W32/Gedzac.D, W32/Falckon.D, W32.Mapson.Worm.d, Mapson.D, W32/Mapson.D@MM, I-Worm.Mapson.d, Win32/Mapson.D, W32/Lorraine.D,
Win32.HLLW.Gedzac
Fecha: 1/set/03
Origen: México
Tamaño: 183,808 bytes
Plataforma: Windows 32-bit
Reportado por: Panda
Este gusano intenta propagarse por correo electrónico, aplicaciones de intercambio de archivos P2P y vía MSN Messenger e ICQ, y no posee efectos destructivos. También finaliza la ejecución de antivirus y cortafuegos, dejando desprotegido a la máquina infectada.
Su código está programado en Borland Delphi 6, y comprimido con la utilidad UPX.
Vía correo electrónico, puede recibirse en un gran número de mensajes en español, con textos y asuntos, todos diferentes. Algunos con remitente fijo y otros variables, tomados estos últimos de las libretas de direcciones del usuario infectado y las listas de contactos de MSN Messenger.
También puede usar como remitente la dirección virus@viruses.com.
Los mensajes son enviados a todas las direcciones con dominio hotmail.com que encuentre en la lista de contactos del Messenger.
Al menos uno de estos mensajes hace referencia a VSAntivirus.com, con el asunto: "Campaña de Seguridad en la red" y como adjunto un archivo de nombre "www.vsantivirus.com" (ver
Ejemplo 10). En TODOS los casos, recuerde que ninguno de estos sitios, envía adjuntos no solicitados en su correo.
Para propagarse por correo, utiliza el componente TNMSMTP de la librería comercial FastNet.
Esta es una lista de todos los posibles mensajes que utiliza el gusano:
Ejemplo 1:
Remitente: virus@viruses.com
Asunto: Alerta por Virus Blastes
Datos adjuntos: Q832645.exe
Texto:
Epidemia por virus Blaster! este mail es
importante no los borres, el virus Blaster se a
estado reproduciendo con gran capacidad, es
recomendable usar el parche correctivo para la
falla de su windows, por favor no espere más y
aplique el parchees por el bienestar de su máquina
Ejemplo 2:
Asunto: Nuevo Mensaje
Datos adjuntos: Newmail.scr
Texto:
Tienes un nuevo correo para verlo haz clic en del
adjunto.
Ejemplo 3:
Asunto: Messenger y la Privacidad.
Datos adjuntos: Privacidad.pif
Texto:
Este documento habla sobre las desventajas de usar
el Msn Messenger como mensajero instantáneo,
cualquierduda se le respondera en el documento.
Ejemplo 4:
Asunto: Roban cuentas de hotmail.
Datos adjuntos: Cuentashotmail.pif
Texto:
Últimamente e estado recibiendo muchos correos
diciéndome provenir de Hotmail pero no, estos correos
nos piden nombre de usuario y password, pero en
realidad es mentira, nuestra cuenta sera robada, para
saber más lea el adjunto
Ejemplo 5:
Asunto: Huevo Cartoons Gratis :D
Datos adjuntos: Xtreme.pif
Texto:
Encontré una página con una buena colección de huevo
cartoons!.
www.huevosymashuevos.com
Me gusta.. mí me gusta, y a tí?
Ejemplo 6:
Asunto: Lista de vulnerabilidades en windows
Datos adjuntos: Vulnerabilidades.pif
Texto:
Esta es una lista de vulnerabilidades en windows para
que sepas y no te vayan a hackear, cuídate, chau
Ejemplo 7:
Asunto: Así me veo.
Datos adjuntos: Playa_cancun.pif
Texto:
Esta es mi foto cuando estaba en la playa :).
Ejemplo 8:
Asunto: Sofia vergara screen saver.
Datos adjuntos: Sofíavergara.scr
Texto:
Nuevo Screen Saver de sofia vergara desnuda, que
esperais para bajarlo
Ejemplo 9:
Asunto: Nuevo ScreenSaver de Britney Spears
Datos adjuntos: Britney.scr
Texto:
Nuevo screen saver de britney! :).
Ejemplo 10:
Asunto: Campaña de Seguridad en la red
Datos adjuntos: www.vsantivirus.com
Texto:
Nueva campaña de seguridad en la red patrocinada
por www.vsantivirus.com, haga clic en el adjunto
para enterarse sobre esto.
Ejemplo 11:
Asunto: Nunca me había visto tan bien
Datos adjuntos: Engrupo.pif
Texto:
Nunca me había visto tan bien en esta foto.
Ejemplo 12:
Asunto: Problemas de disfunción sexual?...
Datos adjuntos: Disfuncion.pif
Texto:
Diez ejercicios con los cuales lograra tener una
erección 10 veces mejor que la que siempre a tenido,
además de aumentar el tamaño de su pene lealos y no
tendra más problemas.
Ejemplo 13:
Asunto: 10 pasos para excitar a una mujer
Datos adjuntos: Orgasmo.pif
Texto:
Aquí tengo 10 pasos fáciles a seguir para lograr
excitar a una mujer, ella lograra tener de 2 a 3
orgasmos léalos, chau.
Ejemplo 14:
Asunto: Herramienta gratuita para eliminar el Blaster
Datos adjuntos: Anti-blaster.exe
Texto:
Si usted esta infectado de este peligroso gusano es
mejor que utilice la vacuna que le mando, ejecútela
no tendrá mas problemas.
Ejemplo 15:
Asunto:
10 consejos para tener una buena relación sentimental
Datos adjuntos: Pareja.pif
Texto:
10 simples consejos para tener una buena relación
sentimental con su pareja léalos y no tendrá mayores
problemas.
Ejemplo 16:
Asunto: Su máquina tiene un virus
Datos adjuntos: Anti-blaster.exe
Texto:
Si su máquina se reinica acada rato, esto es por un
nuevo virus que afecta toda internet, para arreglar
el problema use el antivirus que le envío.
Ejemplo 17:
Asunto: Alerta de virus
Datos adjuntos: Antirundll.exe
Texto:
Cuidado! este virus es peligroso puede formatearte
el disco duro, llega por hotmail sin que te des
cuenta, tu podrias estar infectado busca en tu
sistema el archivo rundll32.exe, si lo tienes es
mejor que utilizes la vacuna que te mando, hazlo
cuanto antes!! no esperes!!
Ejemplo 18:
Asunto: Música gratis
Datos adjuntos: Shareaza.exe
Texto:
Bajate toda la música que tu quieras, cuando
quieras o como quieras!!!
Ejemplo 19:
Asunto: Nuevo y seguro cliente P2P
Datos adjuntos: P2p.pif
Texto:
Esta arto del spyware en su cliente P2P como KaZaA?
Yo al menos sí! Odio que me espíen, y que hasta me
puedan denunciar, Por eso a salido un nuevo cliente
P2P, que actúa de forma stealth por lo que No saben
quién descarga un archivo además de poder bajar
toda la músicaGratis. Saludos.
Ejemplo 20:
Asunto: Te amo.
Datos adjuntos: Teamo.pif
Texto:
Te amo tanto que moriría por tí.
Ejemplo 21:
Asunto: Virus en Hotmail
Datos adjuntos: Nuevovirus.txt.pif
Texto:
Hola, se a dado una alerta por parte de las
empresas antivirus, de un nuevo virus que se
expande por hotmail, hasta el momento indetectable
para cualquier producto antiviral, por lo que
recomiendo leer las precauciones sobre este nuevo
gusano informatico. Para más información, favor de
leer el documento informativo.
Ejemplo 22:
Asunto: Kamasutra
Datos adjuntos: Kamasutra.pif
Texto:
Kamasutra el arte del sexo
Ejemplo 23:
Asunto: Su pareja ideal
Datos adjuntos: Parejaideal.pif
Texto:
Los 10 consejos para tener una pareja ideal,Léalos
y póngalos en practica, le aseguro que tendrá
resultadossatisfactorios.
Ejemplo 24:
Asunto: Sabes que es el Amor?
Datos adjuntos: Amores.pif
Texto:
Yo no sé que es el amor tampoco lo e sentido, pero
este texto te ayuda a comprenderlo.
Ejemplo 25:
Asunto: Como consquistar chicas.
Datos adjuntos: Chicas.pif
Texto:
Aquí le doy unos consejos para tener chicas rendidas
a sus pies, lealos y me dice que tal.
Ejemplo 26:
Asunto: La Biblia del Hacker
Datos adjuntos: Hacker-bible.pif
Texto:
Excelente libro para aprender a hackear un windows
de manera fácil y rápida, con 10 temas de rápido
aprendizaje, no dejes pasar más tiempo y leelo ya
pero no se lo pases a nadie que es solo para tí.
Ejemplo 27:
Asunto: ¿Como crear un virus?
Datos adjuntos: Viruses.pif
Texto:
Con este sencillo manual aprenderas a crear virus
rápidamente, cuidate , chau
Ejemplo 28:
De: microsoft@microsoftupdate.com
Asunto: Nueva vulnerabilidad en Windows
Datos adjuntos: K54403.exe
Texto:
El día de hoy se a descubierto una nueva
vulnerabilidad para los sistemas windows
recomendamos aplicar el siguiente parche de
seguridad, ya que el no parchear esta vulnerabilidad
puede permitir la ejecución de código en la máquina
afectada y podría ser explotada por algún virus como
es el caso del Blaster, Gracias
Ejemplo 29:
De: hackers@hackwebmail.com
Asunto: Hack Mails
Datos adjuntos: Mailcrack.bat
Texto:
queres verle el mail a un amigo, al jefe, saber si
la la novia se mailea con otro, entonces usa este
programa ;).
Ejemplo 30:
Asunto: Lista de virus recientes
Datos adjuntos: Virus-list.pif
Texto:
Aquí te doy una lista de virus recientes para que
estés pendiente y note vayas a infectar, saludos,
chau
Ejemplo 31:
Asunto: ¿qué es un virus?
Datos adjuntos: Virus-faq.pif
Texto:
Un pequeño texto que nos informa y nos dice que
es un virus, como desinfectarse, como contrarlos
etc.. espero que te guste.
Ejemplo 32:
Asunto: Actualización
Datos adjuntos: Update.exe
Texto:
Disculpa apenas pude enviarte la actualización
del programa, es que tenía mucho trabajo, chau
cuidate.
Ejemplo 33:
Asunto: Animaciones
Datos adjuntos: Animaciones.pif
Texto:
Checa estas divertidas animaciones que te envío,
no se las des a nadie mas son solo para ti!
Ejemplo 34:
Asunto: Posiciones
Datos adjuntos: Posiciones.exe
Texto:
Para que no te digan y no te cuente n, posiciones
para hacer el amor, checalas y me dices que tal
pero no se las des a nadie más, bye.
Ejemplo 35:
Asunto: Información confidencial
Datos adjuntos: Confidencial.pif
Texto:
Por favor, checa el adjunto para que sepas de que
hablo, bye.
Ejemplo 36:
Asunto: divisas.txt
Datos adjuntos: Readme.pif
Texto:
Hola, tengo problemas con este archivo serías
amable de checarlo por mí?, gracias, adios
Ejemplo 37:
Asunto: Contraseñas
Datos adjuntos: Contraseñas.pif
Texto:
Contraseñas de hotmail, para ti, no se las pases
a nadie gracias te cuidas chau.
Ejemplo 38:
Asunto: Si no te interesa..
Datos adjuntos: Muy-interesante.pif
Texto:
Si esto no te interesa no lo leas.
Ejemplo 39:
De: juan@ivan-ich.com
Asunto: Información
Datos adjuntos: Confidential-information.pif
Texto:
La siguiente información no a podido ser enviada
Ejemplo 40:
Asunto: Ouija Online
Datos adjuntos: Juegoconlosmuertos.pif
Texto:
Quieres conocer, el juego que ha despertado temores
y discuciones a lo largo del tiempo, mira esto
Ejemplo 41:
Asunto: Tienes un E-Mail
Datos adjuntos: Mail.bat
Texto:
Tienes un E-mail para visualizarlo haga clic en el
adjunto.
Ejemplo 42:
Asunto: Expresate
Datos adjuntos: Amor.bat
Texto:
Sí el texto no expresa lo que sientes devuelvemelo.
Ejemplo 43:
Asunto: thalía desnuda!!!
Datos adjuntos: Thalía-sex.pif
Texto:
Recientemente se publicaron unas fotos de la
cantante thalía totalmente desnuda!, e logrado
sacar unas y aquí te las mando, están comprimidas,
por favor no se las des a nadie son solo para tí!
saludos, bye.
Ejemplo 44:
Asunto: Animación!!
Datos adjuntos: Sexual-positions.bat
Texto:
Lo e hecho yo y me gustaría que le dieras un vistazo
y me dijeras que tal lo vez tú, cuidate,bye.
Ejemplo 45:
Asunto: LatinCards
Datos adjuntos: Lovecard.bat
Texto:
Le han enviado una LatinCard para poder visualizarla
abra el adjuntoGracias.
Ejemplo 46:
Asunto: 5 consejos para conquistar a una chica
Datos adjuntos: Consejos-mujeres.bat
Texto:
Entre estos consejos se encuentran la comunicación
y el respeto, si quieres saber más lee por favor el
archivo.
Ejemplo 47:
Asunto: Fotos de mi chica
Datos adjuntos: Chica-sex.scr
Texto:
Aqui tienes unas fotos de mi chica, dime si te
gustan..
Ejemplo 48:
Asunto: Hackear correos de yahoo, hotmail!!!!
Datos adjuntos: Hotmailhacker.exe
Texto:
Acabo de terminar mi nuevo programa para hackear
cuentas de correo de yahoo, hotmail y latinmail,
recuerda que es solo para tí por favor nose lo des
a nadie mas.
Ejemplo 49:
Asunto: hackear paginas web!!!!
Datos adjuntos: Hackwebs.exe
Texto:
Aquí te envío un programa que hice para hackear
paginas web, no se lo des a nadie que es solo para
tí prometemelo!, chau cuidate.
Ejemplo 50:
Asunto: 5 pasos para hackear hotmail
Datos adjuntos: Hotmailhack.pif
Texto:
Oye te doy un texto para hackear hotmail es solo
para tí, pero no se los des a nadie Prometemelo,
ok?, chau.
Cuando se ejecuta, crea las siguientes copias de si mismo, una en el directorio raíz, y las demás en la carpeta System de Windows ("C:\Windows\System" en Windows 9x/ME, "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003):
c:\falckon.vxd
c:\windows\system\amor.bat
c:\windows\system\amores.pif
c:\windows\system\animaciones.pif
c:\windows\system\anti-blaster.exe
c:\windows\system\anti-blasterworm.exe
c:\windows\system\antirundll.exe
c:\windows\system\britney.scr
c:\windows\system\chicas.pif
c:\windows\system\chica-sex.scr
c:\windows\system\confidencial.pif
c:\windows\system\confidential-information.pif
c:\windows\system\consejos-mujeres.bat
c:\windows\system\contraseñas.pif
c:\windows\system\cuentashotmail.pif
c:\windows\system\disfuncion.pif
c:\windows\system\drivers-windows.exe
c:\windows\system\engrupo.pif
c:\windows\system\foto-alemania.pif
c:\windows\system\generatorviruses.exe
c:\windows\system\girlpic.pif
c:\windows\system\hacker-bible.pif
c:\windows\system\hackwebs.exe
c:\windows\system\hotmailhack.pif
c:\windows\system\hotmailhacker.exe
c:\windows\system\juegoconlosmuertos.pif
c:\windows\system\k54403.exe
c:\windows\system\kamasutra.pif
c:\windows\system\lovecard.bat
c:\windows\system\mail.bat
c:\windows\system\mailcrack.bat
c:\windows\system\matrixreloaded.scr
c:\windows\system\muy-interesante.pif
c:\windows\system\newmail.scr
c:\windows\system\nuevovirus.txt.pif
c:\windows\system\orgasmo.pif
c:\windows\system\p2p.pif
c:\windows\system\pareja.pif
c:\windows\system\parejaideal.pif
c:\windows\system\paulina-rubio-cameron-diaz.scr
c:\windows\system\playa_cancun.pif
c:\windows\system\posiciones.exe
c:\windows\system\privacidad.pif
c:\windows\system\q832645.exe
c:\windows\system\readme.pif
c:\windows\system\ruxdll32.exe
c:\windows\system\sexual-positions.bat
c:\windows\system\shakira.scr
c:\windows\system\sharekaza.exe
c:\windows\system\sofíavergara.scr
c:\windows\system\teamo.pif
c:\windows\system\thalía-sex.pif
c:\windows\system\update.exe
c:\windows\system\viruses.pif
c:\windows\system\virus-faq.pif
c:\windows\system\virus-list.pif
c:\windows\system\vulnerabildades.pif
c:\windows\system\www.huevosymashuevos.com
c:\windows\system\www.vsantivirus.com
c:\windows\system\xtreme.pif
Luego crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NAV = c:\windows\system\ruxdll32.exe
El gusano también se copia en la carpeta de inicio del sistema, para ejecutarse en cada reinicio. Las carpetas de inicio por defecto son las siguientes:
Windows 95, 98 y Me:
C:\WINDOWS\Menú Inicio\Programas\Inicio
C:\WINDOWS\All Users\Menú Inicio\Programas\Inicio
Windows XP y 2000:
C:\Documents and Settings
\[usuario]\Menú Inicio\Programas\Inicio
C:\Documents and Settings
\All Users\Menú Inicio\Programas\Inicio
Windows NT:
C:\WinNT\Profiles
\[usuario]\Menú Inicio\Programas\Inicio
C:\WinNT\Profiles
\All Users\Menú Inicio\Programas\Inicio
En Windows NT, 2000 y XP, el gusano crea un usuario llamado GEDZAC y lo agrega al grupo de administradores.
El gusano intenta propagarse por las siguientes aplicaciones de intercambio de archivos, y también del ICQ:
eDonkey2000
Gnucleus
Grokster
ICQ
KaZaa Lite
KaZaA
KMD
Limewire
Morpheus
Overnet
Rapigator
Tesla
WinMX
XoloX
Para ello, busca los siguientes directorios en la carpeta "C:\Archivos de programa":
\edonkey2000\incoming\
\gnucleus\downloads\
\Grokster\My Grokster\
\icq\shared files\
\kazaa lite\my shared folders\
\KaZaA\My Shared Folder\
\KMD\My Shared Folder
\limewire\shared\
\morpheus\my shared folder\
\Overnet\Incoming\
\Rapigator\Share\
\Tesla\Files\
\WinMX\My Shared Folder\
\XoloX\Downloads\
Y se copia allí con diferentes nombres. Básicamente, combina textos como los siguientes:
ad-aware
adobe acrobat reader (32-bit)
aol instant messenger (aim)
biromsoft webcam
copernic agent
delphi 6
diet kazaa
directdvd
divx video bundle
download accelerator plus
fireworks 4
fireworks mx
global divx layer
grokster
icq lite
icq ro 2003a beta
imesh
jetaudio basic
kasersky antivirus
kazaa download accelerator
kazaa media desktop
matrix movie
mcafee antivirus crack all versions
microsoft internet exlorer
microsoft office xp
microsoft windows 2003
microsoft windows media layer
mcafee antivirus
morpheus
msn hack
nero burning rom
netumer
network cable e adsl speed
norton antivirus
office 2003
panda antivirus
perantivirus
pop-up stoper
quicktime
realone free player
registry mechanic
snagit
sybot - search & destroy
trillian
virtual girl
visual studio net crack all versions
vvisual studio net
winamp
winmx
winrar
winzip
ws_ft le (32-bit)
xolox ultra
zonealarm
Sumándole a cada uno una de las siguientes cadenas:
.exe
crack all versions.exe
cracked.exe
full version.exe
keygen.exe
Ejemplos:
fireworks 4.exe
fireworks 4 crack all versions.exe
fireworks 4 cracked.exe
fireworks 4 full version.exe
fireworks 4 keygen.exe
zonealarm.exe
zonealarm crack all versions.exe
zonealarm cracked.exe
zonealarm full version.exe
zonealarm keygen.exe
Cualquiera de estos archivos que sea descargado por un usuario de estas redes y luego ejecutado, infectará su equipo.
Para propagarse por IRC (Internet Relay Chat), el gusano busca la presencia del archivo de configuración del mIRC, SCRIPT.INI y lo crea o modifica, para enviarse a todos los usuarios que compartan los mismos canales de chat con la víctima infectada con un comando "/dcc send".
El gusano finaliza la ejecución de cualquier de estos procesos activos, los que pertenecen a conocidos antivirus, cortafuegos, y herramientas del propio Windows (Regedit, Msconfig, etc.):
_avp32.exe
_avpcc.exe
_avpm.exe
advxdwin.exe
agentw.exe
alertsvc.exe
alogserv.exe
amon9x.exe
anti-trojan.exe
apvxdwin.exe
atupdater.exe
atwatch.exe
autodown.exe
avconsol.exe
avconsol.exe
avgcc32.exe
avgctrl.exe
avgserv.exe
avgserv9.exe
avkpop.exe
avkserv.exe
avkservice.exe
avsched32.exe
avsynmgr.exe
avwinnt.exe
avxmonitor9x.exe
avxmonitornt.exe
avxquar.exe
avxquar.exe
blackd.exe
blackice.exe
ccapp.exe
ccevtmgr.exe
ccpxysvc.exe
etrustcipe.exe
expert.exe
f-agnt95.exe
fameh32.exe
f-prot.exe
f-prot95.exe
fp-win.exe
frw erv.exe
icload95.exe
icloadnt.exe
icsupp95.exe
icsuppnt.exe
iomon98.exe
msblast.exe
msconfig.exe
nav auto-protect.exe
navap.exe
navapsvc.exe
navapw32.exe
navengnavex15.exe
navlu32.exe
navw32.exe
navwnt.exe
ndd32.exe
npssvc.exe
nsched32.exe
nspclean.exe
pcciomon.exe
pccntmon.exe
pccwin97.exe
pccwin98.exe
pcscan.exe
penis32.exe
persfw.exe
perswf.exe
pop3trap.exe
pqremove.exe
regedit.com
regedit.exe
regedt32.exe
sysedit.exe
taskmgr.exe
vptray.exe
vsched.exe
vsecomr.exe
vshwin32.exe
vsmain.exe
vsmon.exe
vsstat.exe
zonealarm.exe
El código del gusano incluye los siguientes textos:
Thx to All my VX Friends specially SlageHammer
VirusBstr Positron VB : Thx for the GhostApp
Component :D Slage : Thx for the 5 msgs to my
worm :D and ur counsels Positron: to ur SMTP
engine 0.9 i study and learn sockets :D Thx to
All Mabel i love u :P
Mapson.D Created by
Falckon/GEDZAC THE FINAL VERSION
Reparación manual
Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
Remoción del gusano utilizando "Process Explorer"
Cómo este gusano finaliza la ejecución de varias utilidades propias de Windows, para quitarlo manualmente es necesario utilizar herramientas de terceros. Se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Una vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE.
Bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer", localice y "mate" (Kill Process), el siguiente proceso (o cualquier otro que tenga alguno de los nombres de los ejecutables del gusano que aparecen en la
descripción anterior):
ruxdll32.exe
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Reinicie su computadora, e ignore los posibles mensajes de error.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
NAV
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Vuelva a ejecutar un antivirus actualizado y borre todos los archivos infectados.
6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Habilitando la protección antivirus en KaZaa
Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas.
Habilitando la protección antivirus en KaZaa
http://www.vsantivirus.com/kazaa-antivirus.htm
Sobre las redes de intercambio de archivos
Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema.
En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.).
De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo.
Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa.
El IRC y los virus
Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.
Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.
En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.
Vea también:
Los virus y el IRC (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-virus-irc.htm
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
10-09-03 - Alias: Win32.HLLW.Gedzac
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|