Mostrando mensaje 1007     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1955 Año 9, lunes 14 de noviembre de 2 005 Fecha: Lunes, 14 de Noviembre, 2005  03:44:12 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1955 Año 9, lunes 14 de noviembre de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - ¿Está usted infectado con el rootkit de Sony-BMG? 2 - Eliminación del rootkit XCP DRM de Sony-BMG _____________________________________________________________ 1 - ¿Está usted infectado con el rootkit de Sony-BMG? _____________________________________________________________ http://www.vsantivirus.com/14-11-05.htm ¿Está usted infectado con el rootkit de Sony-BMG? Por Angela Ruiz angela@videosoft.net.uy Varias demandas han sido presentadas a la compañía grabadora Sony-BMG, después que se hiciera público el hecho de que varios de sus CDs instalan un controvertido software antipiratería cuando son reproducidos en una computadora. Además, cuando ello ocurre, los usuarios quedan en una situación muy peligrosa, debido a que el programa instalado oculta su presencia y su actividad en el equipo. Y lo que es peor, el software puede ser utilizado luego para esconder cualquier otro programa, incluyendo un virus. Esto último, ya pudo ser comprobado cuando el pasado 10 de noviembre, una variante del IRCBot.PH (Win32/IRCBot.PH para NOD32), comenzó a utilizar esta técnica para ocultar su presencia. Otros fabricantes detectan este troyano como Brepibot, Breplibot, Ryknos o Stinx, entre otros nombres. Esta controversial tecnología anti-piratería, fue hecha pública el pasado 31 de octubre, cuando un experto en seguridad, Mark Russinovich, reveló detalles del mismo en su blog. A partir de allí, las críticas hacia Sony-BMG han arreciado, hasta el punto de que se han iniciado demandas en su contra. Una de ellas tiene su origen en California, y se espera otra en Nueva York. Al mismo tiempo la fundación Fronteras Electrónicas (EFF por sus siglas en inglés), ha solicitado oficialmente a diferentes gobiernos que investiguen el uso del software implantado por Sony-BMG. "Las compañías de entretenimiento a menudo se quejan de que los fans rehúsan respetar sus derechos de propiedad intelectual," dijo Jason Schultz, abogado de EFF. "Pero herramientas como éstas, no respetan nuestros propios derechos de propiedad. Las tácticas empleadas por Sony son hipócritas, además de que constituyen una seria amenaza a la seguridad". Amenaza demostrada ya con la aparición del troyano que explota el software de Sony. El IRCBot.PH llega en un correo electrónico, y al ejecutarse, puede tomar el control del equipo del usuario. "Este nuevo exploit es un ejemplo clásico de porqué los consumidores necesitan estar completamente enterados de todo el software que se está ejecutando en sus equipos," dijo Laura Yecies, directora general de la compañía de seguridad Check Point. "Comprometer la seguridad de los usuarios utilizando tecnologías como rootkits, que facilitan la entrada a los piratas informáticos, no es la respuesta al tema de la infracción de los derechos de autor". Es que técnicamente el software empleado es un "rootkit". Este tipo de herramienta, permite ocultar casi cualquier tipo de actividad desarrollada sin el conocimiento del usuario en su propio sistema. Después de la publicación de Russinovich, el presidente de Sony llegó a ironizar que para la mayoría de los usuarios, la palabra "rootkit" era algo incomprensible, y que por lo tanto la información que se estaba divulgando en múltiples medios y sitios, especializados en seguridad o no, solo provocaban "un infundado temor por algo que no debía producir ningún daño en sus computadoras". Este software es utilizado por Sony en aquellos CDs que agregan la tecnología XCP (Extended Copy Protection) como administradora de derechos digitales (DRM). La misma ha sido creada por la compañía británica First 4 Internet. La idea es prevenir que las personas realicen copias no autorizadas que luego suelen distribuir por Internet. En este caso, el CD solo puede ser escuchado en el PC en que el usuario accede a instalar el reproductor asociado. Pero cuando ello ocurre, nada se dice de la instalación del rootkit que se utiliza para ocultar diversos elementos del programa, supuestamente con la idea de que no se pueda desactivar la protección. Como reveló Russinovich, el software oculta cualquier carpeta, archivo, programa o entrada en el registro, cuyo nombre comience con la cadena $SYS$. También informó de las dificultades que le trajo a su propio equipo, al querer quitar el programa. Ya en ese momento el experto advirtió del peligro que ello significaba al facilitar la instalación de software malicioso sin el conocimiento del usuario, tema que quedó confirmado apenas pocos días después, con la aparición del troyano IRCBot.PH. Además, Russinovich reveló que el software DRM instalado en su equipo, también enviaba datos a los cuarteles generales de Sony-BMG, lo que lo define como un spyware. Según la ASC, spyware es todo software de seguimiento, utilizado sin el consentimiento, o sin el control del usuario. En su sentido más amplio, el término es utilizado como un sinónimo de todas las tecnologías desplegadas sin el consentimiento apropiado del usuario y/o aplicadas sin el control del mismo, afectando su experiencia de usuario, la privacidad, o la seguridad de su computadora, como en este caso. Aunque Sony publicó un parche que permite desinstalar este software, muchos usuarios que alguna vez colocaron un CD protegido en su PC, pueden tener aún el rootkit en su sistema sin saberlo. El primer CD con esta tecnología, fue publicado en marzo de 2005. Fronteras Electrónicas, publicó la siguiente lista de CDs confirmados con dicha protección. Si usted ejecutó alguna vez uno de estos CDs en su equipo, tal vez tenga el software comprometedor en su sistema: - Trey Anastasio, Shine (Columbia) - Celine Dion, On ne Change Pas (Epic) - Neil Diamond, 12 Songs (Columbia) - Our Lady Peace, Healthy in Paranoid Times (Columbia) - Chris Botti, To Love Again (Columbia) - Van Zant, Get Right with the Man (Columbia) - Switchfoot, Nothing is Sound (Columbia) - The Coral, The Invisible Invasion (Columbia) - Acceptance, Phantoms (Columbia) - Susie Suh, Susie Suh (Epic) - Amerie, Touch (Columbia) - Life of Agony, Broken Valley (Epic) - Horace Silver Quintet, Silver's Blue (Epic Legacy) - Gerry Mulligan, Jeru (Columbia Legacy) - Dexter Gordon, Manhattan Symphonie (Columbia Legacy) - The Bad Plus, Suspicious Activity (Columbia) - The Dead 60s, The Dead 60s (Epic) - Dion, The Essential Dion (Columbia Legacy) - Natasha Bedingfield, Unwritten (Epic) - Ricky Martin, Life (Columbia) Otros CDs editados por Sony-BMG, están protegidos con diferentes tecnologías de protección contra copias, aportadas por SunnComm, incluyendo: - My Morning Jacket, Z - Santana, All That I Am - Sarah McLachlan, Bloom Remix Album Finalmente Sony dijo que había detenido la producción de CDs con esta polémica tecnología. Otros sistemas de protección seguirán siendo utilizados por la compañía. * Relacionados: Eliminación del rootkit XCP DRM de Sony-BMG http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm Are You Infected with Sony-BMG's Rootkit? http://www.eff.org/news/archives/2005_11.php How To Spot Sony's Rootkit http://www.eff.org/IP/DRM/Sony-BMG/ Tecnología anticopia de Sony compromete la seguridad http://www.vsantivirus.com/vul-xcp-sony.htm IRCBot.PH. Utiliza la tecnología anticopia de Sony http://www.vsantivirus.com/ircbot-ph.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Eliminación del rootkit XCP DRM de Sony-BMG _____________________________________________________________ http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm Eliminación del rootkit XCP DRM de Sony-BMG Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Aunque se han publicado diversas herramientas para quitar el software administrador de derechos digitales de Sony, han existido casos en que su eliminación puede causar que luego de ello no funcione correctamente el lector de CD (esto se debe a la eliminación de drivers, no a un daño físico). Por ese motivo, se aconseja utilizar el software proporcionado por Sony, o seguir los siguientes procedimientos para su desinstalación manual: * Desinstalación manual (Windows XP) 1. Haga clic en Inicio, Ejecutar. 2. Escriba CMD más Enter. 3. En la ventana que aparece, escriba lo siguiente: sc delete $sys$aries 4. Pulse Enter. 5. Reinicie su computadora (Inicio, Apagar equipo). 6. Borre los archivos y carpetas indicados en "Información". * Desinstalación automática (software de Sony): SOFTWARE UPDATES/ PLUG-INS http://cp.sonybmg.com/xcp/english/updates.html Software Updates http://updates.xcp-aurora.com/ * Información El rootkit instalado por Sony, esconde cualquier archivo, proceso o entrada del registro, que comience con los siguientes caracteres: $sys$ Crea el siguiente directorio, donde copia sus propios archivos (el directorio queda oculto): \Windows\System32\$sys$filesystem Instala dos servicios, creando las siguientes entradas en el registro: HKLM\SYSTEM\CurrentControlSet\Services\CD_Proxy HKLM\SYSTEM\CurrentControlSet\Services\$sys$DRMServer También crea las siguientes entradas: HKLM\SYSTEM\CurrentControlSet\Services\$sys$aries HKLM\SYSTEM\CurrentControlSet\Services\$sys$cor HKLM\SYSTEM\CurrentControlSet\Services\$sys$crater HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$OCT HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$LIM Además, crea los siguientes archivos: C:\windows\CDProxyServ.exe C:\windows\DbgHelp.dll C:\windows\system32\$sys$caj.dll C:\windows\system32\$sys$upgtool.exe C:\windows\system32\AXPSupport.dll C:\windows\system32\ECDPlayerControl.ocx C:\windows\system32\InstallContinue.exe C:\windows\system32\Unicows.dll C:\Windows\System32\$sys$filesystem\$sys$DRMServer.exe C:\Windows\System32\$sys$filesystem\$sys$parking C:\Windows\System32\$sys$filesystem\aries.sys C:\Windows\System32\$sys$filesystem\crater.sys C:\Windows\System32\$sys$filesystem\DbgHelp.dll C:\Windows\System32\$sys$filesystem\lim.sys C:\Windows\System32\$sys$filesystem\oct.sys C:\Windows\System32\$sys$filesystem\Unicows.dll C:\windows\system32\driver\$sys$cor.sys C:\windows\system32\TMPX\APIX.vxd C:\windows\system32\TMPX\ASPIENUM.vxd C:\windows\system32\TMPX\WNASPI.dll C:\windows\system32\TMPX\WNASPI32.dll Estos archivos y las carpetas "$sys$filesystem", "driver" (no la confunda con "drivers"), y "TMPX" pueden ser borrados luego de eliminar el servicio. * Más información: ¿Está usted infectado con el rootkit de Sony-BMG? http://www.vsantivirus.com/14-11-05.htm Tecnología anticopia de Sony compromete la seguridad http://www.vsantivirus.com/vul-xcp-sony.htm IRCBot.PH. Utiliza la tecnología anticopia de Sony http://www.vsantivirus.com/ircbot-ph.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1955 Año 9, lunes 14 de noviembre de 2005