Mostrando mensaje 1055     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 2003 Año 10, lunes 2 de enero de 2006 Fecha: Lunes, 2 de Enero, 2006  06:03:43 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 2003 Año 10, lunes 2 de enero de 2006 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - El problema WMF y la ética de una computación confiable 2 - Parche NO oficial para la vulnerabilidad WMF 3 - Phishing, la amenaza de mayor propagación de 2005 _____________________________________________________________ 1 - El problema WMF y la ética de una computación confiable _____________________________________________________________ http://www.vsantivirus.com/01-01-06.htm El problema WMF y la ética de una computación confiable Por Jose Luis Lopez (*) videosoft@videosoft.net.uy En el Internet Storm Center, Tom Liston es muy claro: "la vulnerabilidad de Microsoft WMF es mala. Es muy, muy mala. Hemos recibido muchos correos electrónicos de personas que dicen que nadie en un ambiente corporativo aceptará utilizar un parche no oficial". "Aceptable o no, las personas, usted, tiene que confiar en alguien en esta situación", continúa Liston. "Según mi leal saber y entender, nosotros [el ISC y el SANS Institute], no hemos pedido nunca su confianza: nosotros la hemos ganado. Ahora usaremos algo de esa confianza ganada con sudor. Esta es una situación mala que cada vez se pone peor. La mejor respuesta que nuestra sabiduría colectiva puede dar hoy, está contenida en este consejo: desregistrar SHIMGVW.DLL y aplicar el parche no oficial. Usted necesita confiar en nosotros." Liston también nos hace ver algo que no puede pasar inadvertido. El 31 de diciembre, a pocas horas del final del año, se anunció la publicación de un exploit "nuevo y mejorado" para la vulnerabilidad WMF (ver "Alerta ante nuevo exploit para la vulnerabilidad WMF", http://www.vsantivirus.com/31-12-05.htm). Este nuevo código genera archivos lo suficientemente diferentes como para evitar la mayoría de los productos antivirus, al menos en un primer momento (NOD32 entre ellos). Publicar esta clase de código en un fin de semana de vacaciones, en un momento tan particular como un fin de año, es un acto muy irresponsable. De modo que, mientras la mayoría de las personas contaban los minutos para recibir el nuevo año, un grupo de voluntarios renunció a estas fiestas para reunirse en equipo y poner todo su conocimiento e intelecto colectivo para enfrentarse a la situación que esta imprudente liberación creaba. Cómo el ISC y Liston explican, mientras algunos probaban el exploit, otros se ponían en contacto con los fabricantes de antivirus, algunos más preparaban las condiciones para encontrar un medio válido que mitigara la vulnerabilidad. El resto probaba los parches y las soluciones que surgían de ese trabajo de equipo. Liston agrega "fui privilegiado para ser parte de ese equipo, y estoy increíblemente orgulloso de todos los que participaron en él. Cuando llegó a ser obvio que el "parche" que preparábamos era esencialmente lo mismo que ya había sido creado por Ilfak Guilfanov, le escribimos a él para preguntarle si podríamos redistribuir el suyo. El fue increíblemente amable y cortés en permitirnos hacerlo así, y aún para trabajar con él verificando varios cambios que permitieron que el parche trabajara en una gran variedad de sistemas de Windows." "Hemos escudriñado cuidadosamente este parche. El mismo hace sólo lo que se anuncia, es reversible [puede desinstalarse fácilmente], y, en nuestra opinión, es tan seguro como efectivo.", afirma Liston. Y aún es más crítico al afirmar: "El discurso de Redmond no es alentador. No hemos oído nada que parezca indicar que veremos algo de parte de Microsoft antes del 9 de enero". Y continúa: "El resultado es este: Usted no puede esperar por un parche oficial de Microsoft, usted no puede bloquear esto en la frontera [en el acceso a su PC], y usted no puede dejar sus sistemas desprotegidos". Y culmina con una frase que apoyamos completamente: "Es tiempo para una verdadera computación confiable. Todo lo que le preguntamos, es si nosotros no hemos demostrado ser dignos de su confianza". * Artículo original: Trustworthy Computing http://isc.sans.org/diary.php?rss&storyid=996 * Relacionados: Alerta ante nuevo exploit para la vulnerabilidad WMF http://www.vsantivirus.com/31-12-05.htm Todo lo que hay que saber sobre el exploit WMF http://www.vsantivirus.com/faq-wmf-exploit.htm Parche NO oficial para la vulnerabilidad WMF http://www.vsantivirus.com/vul-wmf-parche.htm (*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de NOD32 Uruguay. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Parche NO oficial para la vulnerabilidad WMF _____________________________________________________________ http://www.vsantivirus.com/vul-wmf-parche.htm Parche NO oficial para la vulnerabilidad WMF Por Redacción VSAntivirus vsantivirus@videosoft.net.uy El Internet Storm Center del Sans Institute, recomienda enfáticamente la instalación de un parche NO OFICIAL creado por Ilfak Guilfanov para la vulnerabilidad WMF. No es común la recomendación de parches no oficiales, sobre todo cuando se trata del sistema operativo. En este caso se justifica su instalación por tratarse de un problema extremadamente grave. En el artículo "El problema WMF y la ética de una computación confiable", http://www.vsantivirus.com/01-01-06.htm"; se dan más argumentos para esta decisión. Por lo pronto, el parche, que puede ser descargado del ISC, puede instalarse en múltiples configuraciones de Windows 2000, XP 32-bit, XP 64-bit, y Windows Server 2003. Este parche NO remueve ninguna funcionalidad conocida del sistema, por ejemplo, todas las imágenes continúan siendo visibles. Técnicamente, el parche inyecta su propia DLL (WMFHOTFIX.DLL) a todos los procesos que carga USER32.DLL (el API que maneja la interacción de las aplicaciones con el usuario). Para ello crea la siguiente clave del registro: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs = C:\WINDOWS\system32\wmfhotfix.dll Tenga en cuenta que esto afecta a todos los procesos que utilizan USER32.DLL. Una vez en memoria, la biblioteca WMFHOTFIX.DLL parchea la función "Escape()" en GDI32.DLL, la interfase gráfica de Windows (Windows Graphic Display Interface o GDI). Como resultado, la secuencia de escape SETABORT (SETABORTPROC), culpable de la ejecución de código en archivos WMF, ya no es aceptada. El autor aclara que el parche deshabilita completamente esta función (función que ya es obsoleta, y se conserva solo por compatibilidad con las versiones de 16 bit de Windows), por lo que alguna aplicación o característica de Windows podría no funcionar (en nuestras pruebas, ninguna función, programa o característica conocida dejó de funcionar, y aunque es evidente que no se puede asegurar que todos los programas funcionarán correctamente, es poco probable que afecte aplicaciones conocidas y usadas actualmente). Si por alguna razón se deseara quitar este parche (o cuando Microsoft publique su actualización oficial), solo basta con desinstalarlo desde "Agregar o quitar programas" del Panel de control, donde aparece listado como "Windows WMF Metafile Vulnerability HotFix". El parche puede ser descargado del siguiente enlace: http://handlers.sans.org/tliston/wmffix_hexblog13.exe Nota: La información de la versión instalada indica que se trata de la 1.2, pero esto es un error del script de instalación que no afecta en nada el funcionamiento del parche, ya que en realidad se trata de la última versión del mismo (la 1.3). Para comprobar la validez de la descarga, el ISC ofrece el siguiente resumen MD5: MD5: 14d8c937d97572deb9cb07297a87e62a - wmffix_hexblog13.exe El mismo está firmado con la llave PGP del SANS Institute que puede conseguirse en el siguiente enlace: http://handlers.sans.org/tliston/wmffix_hexblog13.exe.asc Los resúmenes MD5 (acrónimo de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5), se utilizan extensamente en el mundo del software para proporcionar la seguridad de que un archivo descargado de Internet no se ha alterado. Comparando una suma MD5 publicada con la suma de comprobación del archivo descargado, un usuario puede tener la confianza suficiente de que el archivo es igual que el publicado por sus creadores. El ISC también ha publicado la versión MSI del parche, que puede descargarse del siguiente enlace: http://handlers.sans.org/tliston/WindowsMetafileFix.html El resumen MD5 es el siguiente: MD5: ae6bb95196853843f4aceb7fca5a78ee - WindowsMetafileFix.msi Y la llave PGP puede descargarse de aquí: http://handlers.sans.org/tliston/WindowsMetafileFix.msi.asc Los instaladores MSI (Microsoft Installer), son la norma para instalar programas en Windows, y contienen toda la información para la instalación automática del producto. * ¿Puedo usar solo este parche y no desregistrar SHIMGVW.DLL? Según publica el Internet Storm Center, el consejo es desregistrar SHIMGVW.DLL y aplicar el parche no oficial. Ambas soluciones son necesarias, por lo que recomendamos utilizar LOS DOS METODOS sugeridos de protección. Para desregistrar el componente SHIMGVW.DLL, puede utilizar la utilidad creada por VSAntivirus, y que puede descargar desde este enlace: http://www.vsantivirus.com/faq-wmf-exploit.htm * Más información: Updated version of Ilfak Guilfanov's patch (NEW) http://isc.sans.org/diary.php?storyid=999 Windows WMF Metafile Vulnerability HotFix http://www.hexblog.com/2005/12/wmf_vuln.html * Relacionados: El problema WMF y la ética de una computación confiable http://www.vsantivirus.com/01-01-06.htm Todo lo que hay que saber sobre el exploit WMF http://www.vsantivirus.com/faq-wmf-exploit.htm [Última modificación: 02/01/06 04:46 -0200] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Phishing, la amenaza de mayor propagación de 2005 _____________________________________________________________ http://www.vsantivirus.com/top10-virusradar-2005.htm Phishing, la amenaza de mayor propagación de 2005 Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ El phishing se ubicó en la primera posición del ranking de detecciones de VirusRadar.com, el servicio estadístico on line de la empresa de seguridad informática Eset, proveedor global de protección antivirus de última generación. Desde abril hasta agosto, el HTML/Phishing fue incontrolable para las compañías antivirus, por sus miles de versiones distintas y su enorme cantidad de creaciones diarias, alcanzado más de 17 millones de correos infectados durante el 2005. El phishing sigue siendo una amenaza de gran preocupación para las compañías de seguridad por ser una de las amenazas más dañinas. Pero tanto los fabricantes de software antivirus, como las distintas asociaciones antiphishing, lentamente están controlando la propagación de la amenaza, así como también, educando y capacitando a los usuarios para que no sean engañados. El phishing son mensajes de correo electrónico falsificados con la intención de engañar a usuarios crédulos, para que revelen sus números de tarjetas de crédito, den información de sus depósitos de cuentas bancarias y todo tipo de detalles personales. Por este motivo, los usuarios que caen en esta trampa pueden recibir daños muchos mayores a inconvenientes con el ordenador, como es la pérdida total o parcial de su dinero en la cuenta bancaria o la tarjeta de crédito. "Virus radar on-line" permite monitorear y analizar estadísticamente las infiltraciones que se reproducen a través del correo electrónico, basándose en las detecciones del antivirus NOD32, el cual está instalado en distintos proveedores de Internet que participan del proyecto, alrededor del mundo. Utilizando estas estadísticas es posible, entre otras cosas, conocer el crecimiento de las epidemias de nuevos virus, así como su ciclo de vida. * TOP 10 del año 2005 de Virus Radar: (Nombre - Cantidad de detecciones) 1. HTML/Phishing.gen.. 18.172.925 2. Win32/Sober.Y ..... 12.021.591 3. Win32/Netsky.Q .... 11.092.696 4. Win32/Zafi.B ....... 5.292.577 5. Win32/Netsky.D ..... 2.749.323 6. Win32/Sober.I ...... 2.055.478 7. Win32/Netsky.Z ..... 1.680.044 8. Win32/Netsky.B ..... 1.510.673 9. Win32/Netsky.C ..... 1.273.371 10. Win32/Sober.O ........ 756.003 Por otro lado, en la segunda posición del año, se encuentra un gusano que utiliza la llamada Ingeniería Social como método de propagación. Es el caso del Win32/Sober.Y, el cual es la mejor muestra de lo peligroso que puede ser esta técnica, que consiste en manipular al usuario, de tal modo de llevarlo a que él mismo colabore en la propagación del gusano. El Sober.Y es el mejor ejemplo del alcance que tiene la Ingeniería Social hoy en día, ya que el método de propagación de esta nueva versión de la familia del gusano es igual a las anteriores, con la diferencia de que dentro del correo se intenta hacer creer a los usuarios que es un mensaje del FBI y la CIA, quienes indican que su dirección IP está ingresada en más de 30 sitios ilegales. Luego, fue lanzada otra versión del gusano que decía tener como archivos adjuntos del correo fotos de Paris Hilton y Nicole Richie desnudas. Por estos motivos, es un problema la gran cantidad de usuarios que no están informados sobre las diversas técnicas de Ingeniería Social, lo cual produce grandes infecciones a nivel mundial de distintos tipos de malware. Esta variante del Sober, fue detectada por primera vez el 21 de noviembre, y en menos de un mes y medio alcanzó la segunda ubicación del ranking, y superó los 12 millones de correos detectados. Durante diciembre presentó más de 10 millones de detecciones, siendo así el virus que más cantidad de estas tuvo en un solo mes durante el 2005. En la tercera ubicación del ranking, se encuentra el gusano Netsky.Q apenas por debajo del Sober.Y, pero con la diferencia de que esta versión del Netsky fue detectada por primera vez el 29 de marzo de 2004. Esta amenaza es un gusano capaz de reproducirse por correo electrónico. Además, puede utilizar aplicaciones de intercambio de archivos (P2P) y recursos compartidos del ordenador afectado. Esta variante del Netsky, también se encuentra en la tercer lugar del ranking de diciembre. Por otro lado, el Win32/Zafi.B se encuentra en el cuarto lugar del ranking con más de 5 millones de detecciones, y además, fue la amenaza de mayor propagación del 2004. En la quinta posición, aparece la variante D del gusano Netsky. Mientras que desde la ubicación séptima hasta la novena, se encuentran también las versiones Z, B y C de esta familia de gusanos. De esta manera, el Netsky se transforma en la familia con más presencias en el ranking de detecciones de Virus Radar. En la sexta posición aparece el Sober.I, el cual funciona al igual que las otras versiones del Sober. Mientras que, finalmente, en el último lugar se encuentra el Sober.O, el que fuera conocido como el virus del Mundial, ya que hacía creer a los usuarios que regalaba entradas para la próxima Copa de Fútbol a disputarse en Alemania durante éste 2006. Es claro por lo tanto, que el método más común utilizado por los creadores de malware para propagar sus códigos, es la Ingeniería Social. Las principales nuevas amenazas lanzadas durante este año, siempre fueron gusanos de correo electrónico que intentaban engañar a usuarios desprevenidos para infectarlos, y así propagarse. Por otra parte, el phishing sigue teniendo altos niveles de propagación, aunque cada día son menos los usuarios que caen en esta clase de trampas. * Enlaces relacionados: VirusRadar.com http://www.virusradar.com/index_esn.html (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: www.enciclopediavirus.com/noticias/verNoticia.php?id=608 Video Soft, empresa creadora del sitio VSAntivirus, representa de forma exclusiva en Uruguay al antivirus NOD32 (marca registrada de Eset). Más información: http://www.nod32.com.uy/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 2003 Año 10, lunes 2 de enero de 2006