Blogia

Ampa Ramon y Cajal

¡¡Nuevo Troyano!!!

Expertos en Internet seguían el viernes tratando de averiguar cómo se produjo una serie de ataques contra algunos de los sitios más populares de Internet con un virus troyano que se aprovecha de fallas en el navegador Internet Explorer de Microsoft.

Al visitar sitios infectados, un código JavaScript se adhiere al navegador y éste intenta descagar un virus troyanos de un sitio de Internet en Rusia que es conocido como fuente de correo electrónico no deseado o "spam".

Un virus troyano es un programa que parece seguro, pero en realidad lleva oculto un gusano o virus.

Investigadores del Instituto SANS, un centro de investigación y educación sobre Internet en Maryland, dijeron que los sitios infectados -un problema que se registró por primera vez el domingo- ya no suponían una amenaza, pero advirtieron que podrían surgir otras "puertas furtivas".

"El sitio (en Rusia) que difunde el programa troyano ya no está accesible", declaró el investigador Johannes Ulrich en una entrevista por correo electrónico. "Aunque quizás haya algunas copias del código JavaScript por ahí que intenten descargar este troyano, ya no lo podrán hacer".

Fuente CNN

Para Pitu

Como ya comentamos y aunque no creo que sea el Blaster que ya está más que pasado te direcciono una página donde encontrar información sobre este gusano
Alerta Antivirus
y la herramienta de desinfección te la puedes bajar desde AQUÍ
De todas las maneras y como medida de seguridad te recomiendo que analices tu PC desde una Web externa, EN ESTA solo te solicitan el pais de procedencia simplemente como información estadística.

saludos

Está haciendo estragos el dichoso SASSER

Desde la página de Symantec - Norton antivirus os podéis descargar ESTA UTILIDAD para eliminarlo, si ya estais infectados (bueno digo descargar si os dá tiempo, sino que os las descargue algún amiguete o en algún equipo que no tenga el XP instalado)
Más información sobre el bichito en SYMANTEC aunque en Inglés.

También el parche del XP
Microsoft Security Bulletin MS04-011

!! Atención Virus Peligroso !!!

El pasado 1 de Mayo se activó un nuevo virus/gusano informático, se trata de un gusano catalogado con peligrosidad máxima, muy dañino y muy difundido, se le ha llamado SASSER del que ya empiezan a existir diversas variantes.
más abajo os remito un informe sobre este gusano e instrucciones para eliminarlo, aunque algunas compañias con programas antivirus han confeccionado una pequeña herramienta para su eliminación automática del pc.

• INFORMACION
Gusano que se propaga utilizando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en el parche MS04-011. Solo afecta computadoras bajo Windows XP o 2000, que no posean dicho parche instalado.


• CARACTERISTICAS
Existe una posible infección cuando se producen continuos cuelgues del proceso LSASS.EXE, y existe el siguiente archivo en el sistema:

c:win.log

Se genera tráfico excesivo en los siguientes puertos TCP:

445, 5554 y 9996

Análisis:

El gusano es un archivo de 15,872 bytes.

El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:
c:windowsavserve.exe

NOTA: La carpeta "c:windows" puede variar de acuerdo al sistema operativo instalado ("c:winnt" en NT, "c:windows", en 9x, Me, XP, etc.).

También crea el siguiente archivo:
c:win.log

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
avserve = c:windowsavserve.exe

El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto para el servicio vulnerable).

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:WIN.LOG registra todas las transacciones FTP realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:

Jobaka3l

El uso de un cortafuego personal, disminuye el riesgo de infección.



• INSTRUCCIONES PARA ELIMINARLO

1. Descargue e instale el parche MS04-011 y luego reinicie el equipo(Esto hacerlo siempre, aunque no se esté infectado):

Microsoft Security Bulletin MS04-011

2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

3. Elimine bajo la columna "Nombre", la entrada "avserve", en la siguiente clave del registro:

HKEY_Local_MachineSOFTWAREMicrosoftWindowsCurrentVersionRun

Cómo hacerlo (mucha atención y mucho cuidado).
En Inicio - Ejecutar escribir regedit.exe
En la lista de carpetas (más bien enorme) que se abre a la izquierda buscar la carpeta llamada
HKEY_LOCAL_MACHINE (Pulsar sobre el signo +)
En las que se abren buscart la carpeta SOFTWARE (Pulsar sobre el signo +)
En las que se abren buscart la carpeta Microsoft (Pulsar sobre el signo +)
En las que se abren buscart la carpeta Windows NT (Pulsar sobre el signo +)
En las que se abren buscart la carpeta Current Version(Pulsar sobre el signo +)
En las que se abren buscart la carpeta Run (Pulsar sobre el signo +)
A la derecha en la columna nombre aparecerá avserve, señalarlo y eliminarlo.
Cerrar el registrro
Reiniciar

4. En Windows NT, 2000 y XP, abra la siguiente clave del registro(Procediendo igual que en el caso anterior, abriendo subcarpetas):

HKEY_Local_MachineSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

5. Cierre el editor del registro.

6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

SOLUCION
1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite una página de Antivirus gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.


3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver la guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine las siguientes entradas del registro:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

"User32" = (ubicación del ejecutable)

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

(nombre del ejecutable) = (ubicación del ejecutable)

Restaure las siguientes entradas del registro:

HKEY_CLASSES_ROOTexefileshellopencommand

(Predeterminado) = "%1" %*

5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Bueno y que tengais suerte!!!

Comenzamos a publicar

Hola a todos

Ya estamos aquí con información variada para navegar
esta vez os he recopilado unas cuantas paginillas de todo tipo
- curiosidades
- compras
- educación
- programas y juegos gratis
- mp3
etc... vamos a la faena os intentaré explicar un poco de que van aunque como siempre es mejor que lo descubráis vosotros mismos.

Guías telefónicas de 150 paises

interesante para los que somos novatos un buscador de buscadores

Google

reproductores de MP3 (algunos ya los tendréis)

Musicmatch
Sonique
Winamp

guía de todos Los Vinos españoles

programas gratis, juegos, curiosidades, complementos para el escritorio etc...
en inglés:

Tucows
Freeware(solo GRATIS, ni demos ni shareware)

Bienvenido al weblog ramonycajal

Ya tienes weblog. Para empezar a publicar artículos y administrar tu nueva bitácora busca el enlace admin abajo en esta misma página.
Deberás introducir tu email y contraseña arriba para poder acceder.

En el menú que aparecerá arriba podrás: ver la página inicial (Inicio); escribir y publicar un artículo nuevo; modificar las preferencias de la bitácora, por ejemplo: los colores; Salir del weblog para desconectar de forma segura y ver la portada tal y como la verían tus visitantes.

Puedes eliminar este artículo. ¡Que lo disfrutes!