Mostrando mensaje 1099     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 2047 Año 10, miércoles 15 de febrero de 2006 Fecha: Miercoles, 15 de Febrero, 2006  03:33:10 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 2047 Año 10, miércoles 15 de febrero de 2006 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Microsoft confirma problema con el parche MS06-007 2 - Boletines de seguridad de Microsoft febrero 2006 3 - Anti Spywares sospechosos o no confiables (14/02/06) 4 - MS06-004 Actualización acumulativa para IE (910620) 5 - MS06-005 Vulnerabilidad Windows Media Player (911565) 6 - MS06-006 Vulnerabilidad Windows Media Player (911564) 7 - MS06-007 Vulnerabilidad DoS en TCP/IP (IGMP) (913446) 8 - MS06-008 Ejecución de código en Web Client (911927) 9 - MS06-009 Microsoft Office 2003 Proofing Tools (901190) 10 - MS06-010 Vulnerabilidad en PowerPoint 2000 (889167) 11 - Bagle.FF. Gusano de Internet y caballo de Troya _____________________________________________________________ 1 - Microsoft confirma problema con el parche MS06-007 _____________________________________________________________ http://www.vsantivirus.com/150206.htm Microsoft confirma problema con el parche MS06-007 Por Angela Ruiz angela@videosoft.net.uy Microsoft ha confirmado que existe un problema con la actualización automática del parche anunciado en el boletín MS06-007 (KB913446). Según el blog del centro de respuestas de seguridad de Microsoft, la actualización en si misma funciona perfectamente, protegiendo al usuario de la vulnerabilidad en Internet Group Management Protocol (IGMP). El problema solo afecta la instalación cuando se realiza por algunos de los canales de distribución. Por otra parte, ninguno de los demás parches de los 7 boletines publicados este martes por Microsoft, presenta dicho problema. En el blog, se publica que solo el parche MS06-007 parece no instalarse con éxito cuando los usuarios tratan de hacerlo a través de la actualización automática, Windows Update, Windows Server Update Services o a través de Management Server 2003 cuando se utiliza el ITMU (SMS 2003 Inventory Tool for Microsoft Updates). Cuando ello sucede, el usuario recibe el mensaje "Error Code: 0x80242006". Sin embargo, el parche puede ser instalado perfectamente de forma manual, a través de los enlaces dados en el propio boletín. Es posible que cuando usted lea esta información, Microsoft ya haya solucionado el problema. De todos modos, en caso de error, puede intentar la descarga manual desde el siguiente enlace: MS06-007 Vulnerabilidad DoS en TCP/IP (IGMP) (913446) http://www.vsantivirus.com/vulms06-007.htm * Referencias: Microsoft Security Response Center Blog http://blogs.technet.com/msrc/archive/2006/02/14/419572.aspx * Relacionados: Boletines de seguridad de Microsoft febrero 2006 http://www.vsantivirus.com/vulms06-feb.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Boletines de seguridad de Microsoft febrero 2006 _____________________________________________________________ http://www.vsantivirus.com/vulms06-feb.htm Boletines de seguridad de Microsoft febrero 2006 Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Microsoft ha liberado en febrero de 2006, siete boletines de seguridad para resolver diferentes vulnerabilidades que afectan a Windows, las cuáles pueden permitir la ejecución remota de código. También se publica la actualización mensual de la herramienta de eliminación de software malintencionado de Microsoft Windows (KB890830). Este es el resumen de dichas actualizaciones: 1. MS06-004 Actualización acumulativa para IE (910620) * Nivel de gravedad: Crítico * Impacto: Ejecución remota de código * Fecha de publicación: 14 de febrero de 2006 * Software afectado por este parche: - Microsoft Windows 2000 Service Pack 4 * Descripción corta: Una vulnerabilidad que permite la ejecución remota de código, se produce en Internet Explorer debido a la manera en que el programa maneja las imágenes con formato Windows Metafile (WMF). * Más información: http://www.vsantivirus.com/vulms06-004.htm 2. MS06-005 Vulnerabilidad Windows Media Player (911565) * Nivel de gravedad: Crítico * Impacto: Ejecución remota de código * Fecha de publicación: 14 de febrero de 2006 * Software afectado por este parche: Windows Media Player incluido en las siguientes versiones de Windows - Windows Media Player para XP en Microsoft Windows XP SP1 - Windows Media Player 9 en Microsoft Windows XP SP2 - Windows Media Player 9 en Microsoft Windows Server 2003 - Microsoft Windows 98 - Microsoft Windows 98 Segunda Edición (SE) - Microsoft Windows Millennium Edition (ME) Windows Media Player descargado de forma independiente - Microsoft Windows Media Player 7.1 (Windows 2000 SP4) - Microsoft Windows Media Player 9 (Windows 2000 SP4) - Microsoft Windows Media Player 9 (Windows XP SP1) - Microsoft Windows Media Player 10 (Windows XP SP1) - Microsoft Windows Media Player 10 (Windows XP SP2) * Descripción corta: Windows Media Player es afectado por una vulnerabilidad que permite la ejecución remota de código, ocasionada por la forma en que la aplicación procesa los archivos bitmap (.BMP). * Más información: http://www.vsantivirus.com/vulms06-005.htm 3. MS06-006 Vulnerabilidad Windows Media Player (911564) * Nivel de gravedad: Importante * Impacto: Ejecución remota de código * Fecha de publicación: 14 de febrero de 2006 * Software afectado por este parche: - Microsoft Windows 2000 Service Pack 4 - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP Service Pack 2 - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 Service Pack 1 - Microsoft Windows XP Professional x64 Edition - Microsoft Windows Server 2003 x64 Edition * Descripción corta: El complemento del Reproductor de Windows Media para navegadores diferentes al Internet Explorer (Netscape, etc.), es afectado por una vulnerabilidad que permite la ejecución remota de código, ocasionada por la forma en que la aplicación maneja los elementos EMBED mal formados. * Más información: http://www.vsantivirus.com/vulms06-006.htm 4. MS06-007 Vulnerabilidad DoS en TCP/IP (IGMP) (913446) * Nivel de gravedad: Importante * Impacto: Denegación de servicio * Fecha de publicación: 14 de febrero de 2006 * Software afectado por este parche: - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP Service Pack 2 - Microsoft Windows XP Professional x64 Edition - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 Service Pack 1 - Microsoft Windows Server 2003 para Itanium - Microsoft Windows Server 2003 SP1 para Itanium - Microsoft Windows Server 2003 x64 Edition * Descripción corta: Existe una vulnerabilidad que permite que un atacante pueda enviar paquetes IGMP especialmente modificados a un sistema afectado, de tal modo que el mismo deje de responder. * Más información: http://www.vsantivirus.com/vulms06-007.htm 5. MS06-008 Ejecución de código en Web Client (911927) * Nivel de gravedad: Importante * Impacto: Ejecución remota de código * Fecha de publicación: 14 de febrero de 2006 * Software afectado por este parche: - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP Service Pack 2 - Microsoft Windows XP Professional x64 Edition - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 Service Pack 1 - Microsoft Windows Server 2003 para Itanium - Microsoft Windows Server 2003 SP1 para Itanium - Microsoft Windows Server 2003 x64 Edition * Descripción corta: Se ha detectado un problema de seguridad en Web Client Service que podría permitir a un usuario malintencionado la ejecución remota de código. Sin embargo, aunque la vulnerabilidad puede ser explotada de forma remota, el atacante debe poder validarse correctamente en el sistema para tener éxito. * Más información: http://www.vsantivirus.com/vulms06-008.htm 6. MS06-009 Microsoft Office 2003 Proofing Tools (901190) * Nivel de gravedad: Importante * Impacto: Elevación de privilegios * Fecha de publicación: 14 de febrero de 2006 * Descripción corta: Sólo las versiones del sistema operativo Windows en coreano son afectadas por esta vulnerabilidad. Pero si ha instalado Microsoft Office Proofing Tools 2003, tiene que instalar esta actualización de seguridad aunque no haya instalado el componente Herramientas de corrección de Coreano en concreto. * Más información: http://www.vsantivirus.com/vulms06-009.htm 7. MS06-010 Vulnerabilidad en PowerPoint 2000 (889167) * Nivel de gravedad: Importante * Impacto: Revelación de información * Fecha de publicación: 14 de febrero de 2006 * Software afectado por este parche: - Microsoft Office 2000 Service Pack 3 (PowerPoint 2000) * Descripción corta: Se ha detectado en PowerPoint 2000 una vulnerabilidad que permite la revelación de información. Un atacante puede explotar esto de forma remota para intentar acceder a objetos explícitamente por su nombre, en los archivos temporales de Internet (TIFF o Temporary Internet Files Folder). * Más información: http://www.vsantivirus.com/vulms06-010.htm 8. Herramienta de eliminación de software malintencionado de Microsoft Windows (KB890830) Esta herramienta comprueba el equipo en busca de infecciones causadas por software malintencionado frecuente y específico (incluidas las infecciones con Blaster, Sasser y Mydoom) y ayuda a eliminar la infección, en caso de que se detectara alguna. Los usuarios de todas las versiones del sistema operativo compatibles pueden descargar la herramienta desde el siguiente enlace: http://go.microsoft.com/fwlink/?linkid=40587 Los usuarios de Windows XP pueden obtener la versión más reciente mediante Windows Update. Nota: la versión de esta herramienta proporcionada por Windows Update se ejecuta en segundo plano y se elimina automáticamente. Para determinar si la herramienta eliminó algún software malintencionado, consulte el archivo de registro. Si desea ejecutar esta herramienta más de una vez al mes, ejecute la versión disponible en esta página Web o la versión del sitio Web de la Herramienta de eliminación de software malintencionado. Consulte el siguiente enlace para más información: Microsoft Knowledge Base Article - 890830 http://support.microsoft.com/?kbid=890830 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Anti Spywares sospechosos o no confiables (14/02/06) _____________________________________________________________ http://www.vsantivirus.com/lista-nospyware.htm Anti Spywares sospechosos o no confiables (14/02/06) Actualización de la lista de programas que se presentan como anti-spywares o anti-adwares, que usted no debería instalar o ejecutar en su computadora, si no desea correr el riesgo de, o bien infectarse con la misma basura que irónicamente muchos de ellos dicen quitar, o bien ser engañados por productos que mienten a la hora de detectar malwares (deliberadamente o no), para que el usuario termine comprándolos. Última actualización 14/feb/06 - 268 entradas * Agregados: - Adware Sheriff (14/feb/06) - SpyFalcon (14/feb/06) - Spy Reaper (14/feb/06) - Spyware & Adware Removal (14/feb/06) - Spyware Remover (14/feb/06) - The Spyware Shield (14/feb/06) * Sitios relacionados con los Anti Spywares sospechosos o no confiables. Lista de sitios oficiales de los productos no confiables o sospechosos. Última actualización 14/feb/06 - 379 entradas * Agregados: - adwaresheriff .com (14/feb/06) - sheriffcash .com (14/feb/06) - spyfalcon .com (14/feb/06) - spyreaper .com (14/feb/06) - synergeticsoft .com (14/feb/06) - advancedsearchbar .com (14/feb/06) - thespywareshield .com (14/feb/06) * Nuevos (últimos 30 días): - 1stAntiVirus (14/ene/06) - 1stantivirus .com (14/ene/06) - AlfaCleaner (14/ene/06) - alfacleaner .com (14/ene/06) - Anti Virus Pro (14/ene/06) - anti-virus-pro .com (14/ene/06) - SpyContra (14/ene/06) - spycontra .com (14/ene/06) - SpyDeface (14/ene/06) - spydeface .com (14/ene/06) - Spyware-Stop (16/ene/06) - spyware-stop .com (16/ene/06) - PestTrap (18/ene/06) - pesttrap .com (18/ene/06) - Scan & Repair Utilities 2006 (19/ene/06) - scanandrepair .com (19/ene/06) - Spyware Sledgehammer (3/feb/06) - VirusGuard (3/feb/06) - spywaresledgehammer .com (3/feb/06) - virusguard .com (3/feb/06) - Adware Sheriff (14/feb/06) - SpyFalcon (14/feb/06) - Spy Reaper (14/feb/06) - Spyware & Adware Removal (14/feb/06) - Spyware Remover (advancedsearchbar .com) (14/feb/06) - The Spyware Shield (14/feb/06) - adwaresheriff .com (14/feb/06) - sheriffcash .com (14/feb/06) - spyfalcon .com (14/feb/06) - spyreaper .com (14/feb/06) - synergeticsoft .com (14/feb/06) - advancedsearchbar .com (14/feb/06) - thespywareshield .com (14/feb/06) * Listado completo: http://www.vsantivirus.com/lista-nospyware.htm [Última modificación: 14/02/06 12:19 -0200] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - MS06-004 Actualización acumulativa para IE (910620) _____________________________________________________________ http://www.vsantivirus.com/vulms06-004.htm MS06-004 Actualización acumulativa para IE (910620) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se han detectado problemas de seguridad que podrían permitir a un usuario malintencionado poner en peligro un equipo que ejecute Microsoft Internet Explorer y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Tras instalar este elemento, es posible que deba reiniciar el equipo. * Nivel de gravedad: Crítico * Impacto: Ejecución remota de código * Fecha de publicación: 14 de febrero de 2006 * Reemplaza: Esta revisión reemplaza a la proporcionada por el siguiente boletín (solo en Microsoft Windows 2000 Service Pack 4): MS05-054 Actualización acumulativa para IE (905915) http://www.vsantivirus.com/vulms05-054.htm * Software afectado por este parche: - Microsoft Windows 2000 Service Pack 4 * Software NO afectado por este parche: - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP Service Pack 2 - Microsoft Windows XP Professional x64 Edition - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 Service Pack 1 - Microsoft Windows Server 2003 para Itanium - Microsoft Windows Server 2003 SP1 para Itanium - Microsoft Windows Server 2003 x64 Edition family - Microsoft Windows 98 - Microsoft Windows 98 Second Edition (SE) - Microsoft Windows Millennium Edition (ME) * Componentes afectados por este parche: - Internet Explorer 5.01 SP4 en Microsoft Windows 2000 SP4 Estas versiones fueron testeadas y son vulnerables. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft. Windows 98, 98 SE y ME, ya no poseen soporte y solo se proporciona actualizaciones en fallos críticos a través de Windows Update (http://go.microsoft.com/fwlink/?LinkId=21130) NOTA VSAntivirus: Usuarios de Windows 98, 98 SE y ME son vulnerables si no tienen instalado Internet Explorer 6.0 SP1. A los usuarios de Windows 98 y Windows Me, se les sugiere actualizarse a las versiones de Internet Explorer SP1 respectivas desde el siguiente enlace: Cómo descargar Internet Explorer 6 SP1 en español http://www.vsantivirus.com/descarga-ie6sp1.htm * Descripción * WMF Image Parsing Memory Corruption Vulnerability - CVE- 2006-0020 Una vulnerabilidad que permite la ejecución remota de código, se produce en Internet Explorer debido a la manera en que el programa maneja las imágenes con formato Windows Metafile (WMF). Un atacante podría aprovecharse de esto, creando un archivo WMF modificado maliciosamente, de tal modo de llegar a ejecutar código de forma remota si el usuario visita un sitio web que contenga dicho archivo, si abre o previsualiza un correo electrónico conteniendo el WMF, o si abre un adjunto conteniéndolo. Si el usuario actual tiene privilegios administrativos, el atacante podrá tomar el control total del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. Si el usuario actual no posee esos privilegios, el atacante también verá restringidas sus acciones. Esta vulnerabilidad es diferente a la corregida en los boletines MS05-053 y MS06-001. Los usuarios que hayan instalado Internet Explorer 6 SP1 no son afectados por esta vulnerabilidad (tampoco a través de un correo electrónico malicioso). Microsoft solo da soporte a Internet Explorer 6 SP1 en Windows 98, Windows 98 Segunda Edición, y Windows Millennium. La única solución para estos usuarios, es asegurarse de tener dicha versión de Internet Explorer instalada en sus máquinas. El problema no afecta a Windows XP Service Pack 1, Windows XP Service Pack 2, Windows XP Professional x64 Edition, Windows Server 2003, Windows Server 2003 Service Pack 1, Windows Server 2003 para Itanium, Windows Server 2003 con Service Pack 1 para Itanium, o Windows Server 2003 x64 Edition. Estas versiones de Windows ya incluyen Internet Explorer 6 Service Pack 1 o versiones superiores. * Referencias: MS05-053 Ejecución de código imágenes WMF/EMF (896424) http://www.vsantivirus.com/vulms05-053.htm MS06-001 Vulnerabilidad en motor de gráficos (912919) http://www.vsantivirus.com/vulms06-001.htm Nueva vulnerabilidad WMF en versiones antiguas de IE http://www.vsantivirus.com/ev-ms-advisory-913333.htm * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Internet Explorer 5.01 SP4 en Microsoft Windows 2000 SP4 Actualización de seguridad para Internet Explorer 5.01 Service Pack 4 (KB910620) http://www.microsoft.com/downloads/details.aspx?familyid=C0DF 2FC3-2075-46B5-945F-6E0BD6806151&displaylang=es El parche también está disponible a través de las actualizaciones automáticas de Windows Update. * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS06-004 www.microsoft.com/technet/security/bulletin/ms06-004.mspx Microsoft Knowledge Base Article - 910620 http://support.microsoft.com/?kbid=910620 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - MS06-005 Vulnerabilidad Windows Media Player (911565) _____________________________________________________________ http://www.vsantivirus.com/vulms06-005.htm MS06-005 Vulnerabilidad Windows Media Player (911565) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se ha detectado un problema de seguridad que podría permitir a un usuario malicioso poner en peligro de forma remota un sistema basado en Windows que utilice el Reproductor de Windows Media y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Después de instalarla, es posible que deba reiniciar el equipo. * Nivel de gravedad: Crítico * Impacto: Ejecución remota de código * Fecha de publicación: 14 de febrero de 2006 * Reemplaza: Esta revisión reemplaza a la proporcionada por el siguiente boletín: MS05-009 Ejecución remota de código (PNG) (890261) http://www.vsantivirus.com/vulms05-009.htm * Software afectado por este parche: Windows Media Player incluido en las siguientes versiones de Windows - Windows Media Player para XP en Microsoft Windows XP SP1 - Windows Media Player 9 en Microsoft Windows XP SP2 - Windows Media Player 9 en Microsoft Windows Server 2003 - Microsoft Windows 98 - Microsoft Windows 98 Segunda Edición (SE) - Microsoft Windows Millennium Edition (ME) * Componentes afectados por este parche: Windows Media Player descargado de forma independiente - Microsoft Windows Media Player 7.1 (Windows 2000 SP4) - Microsoft Windows Media Player 9 (Windows 2000 SP4) - Microsoft Windows Media Player 9 (Windows XP SP1) - Microsoft Windows Media Player 10 (Windows XP SP1) - Microsoft Windows Media Player 10 (Windows XP SP2) * Software NO afectado por este parche: - Windows Media Player 6.4 en todos los Windows - Windows Media Player 10 en Windows Server 2003 SP1 - Microsoft Windows XP Professional x64 Edition - Microsoft Windows Server 2003 para Itanium - Microsoft Windows Server 2003 SP1 para Itanium - Microsoft Windows Server 2003 x64 Edition Las actualizaciones para Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1, y Microsoft Windows Server 2003 x64 Edition, también se aplican a Microsoft Windows Server 2003 R2. Estas versiones fueron testeadas y son vulnerables. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft. Windows 98, 98 SE y ME, ya no poseen soporte y solo se proporciona actualizaciones en fallos críticos a través de Windows Update (http://go.microsoft.com/fwlink/?LinkId=21130) * Descripción * Windows Media Player Vulnerability - CVE-2006-0006 Windows Media Player es afectado por una vulnerabilidad que permite la ejecución remota de código, ocasionada por la forma en que la aplicación procesa los archivos bitmap. Un atacante podría construir un .BMP malicioso, de tal modo de llegar a ejecutar código de forma remota si el usuario visita un sitio web que contenga dicho archivo o si abre o previsualiza un correo electrónico conteniendo el BMP. Si el usuario actual tiene privilegios administrativos, el atacante podrá tomar el control total del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. Si el usuario actual no posee esos privilegios, el atacante también verá restringidas sus acciones. De todos modos, para la explotación exitosa de esta vulnerabilidad se requiere cierta interacción con el usuario. Windows Media Player no maneja por defecto los archivos .BMP, lo que disminuye el riesgo de esta vulnerabilidad. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Windows Media Player para XP en Microsoft Windows XP Service Pack 1 Actualización de seguridad para el Reproductor de Windows Media 8 para Windows XP (KB911565) http://www.microsoft.com/downloads/details.aspx?familyid=1100 54F2-244D-4036-B98C-E951CBA7E9BA&displaylang=es Windows Media Player 9 en Microsoft Windows XP Service Pack 2 Actualización de seguridad para el Reproductor de Windows Media 9 (KB911565) http://www.microsoft.com/downloads/details.aspx?familyid=8F9E EF16-04F7-4DA8-A0EF-1797B52D0B4B&displaylang=es Windows Media Player 9 en Microsoft Windows Server 2003 Actualización de seguridad para el Reproductor de Windows Media 9 (KB911565) http://www.microsoft.com/downloads/details.aspx?familyid=8F9E EF16-04F7-4DA8-A0EF-1797B52D0B4B&displaylang=es Microsoft Windows Media Player 7.1 instalado en Windows 2000 Service Pack 4 Actualización de seguridad para el Reproductor de Windows Media 7.1 para Windows 2000 (KB911565) http://www.microsoft.com/downloads/details.aspx?familyid=26A0 B9E1-1242-4E55-B3D4-8377B83257C6&displaylang=es Microsoft Windows Media Player 9 instalado en Windows 2000 Service Pack 4 o Windows XP Service Pack 1 Actualización de seguridad para el Reproductor de Windows Media 9 (KB911565) http://www.microsoft.com/downloads/details.aspx?familyid=8F9E EF16-04F7-4DA8-A0EF-1797B52D0B4B&displaylang=es Microsoft Windows Media Player 10 instalado en Windows XP Service Pack 1 o Windows XP Service Pack 2 Actualización de seguridad para el Reproductor de Windows Media 10 para Windows XP (KB911565) http://www.microsoft.com/downloads/details.aspx?familyid=1827 35E1-9382-4F2E-A624-D2316A96B411&displaylang=es El parche también está disponible a través de las actualizaciones automáticas de Windows Update. * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS06-005 www.microsoft.com/technet/security/bulletin/ms06-005.mspx Microsoft Knowledge Base Article - 911565 http://support.microsoft.com/?kbid=911565 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - MS06-006 Vulnerabilidad Windows Media Player (911564) _____________________________________________________________ http://www.vsantivirus.com/vulms06-006.htm MS06-006 Vulnerabilidad Windows Media Player (911564) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se ha detectado un problema de seguridad que podría permitir a un usuario malicioso poner en peligro de forma remota un sistema basado en Windows que utilice el complemento del Reproductor de Windows Media y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Después de instalarla, es posible que deba reiniciar el equipo. * Nivel de gravedad: Importante * Impacto: Ejecución remota de código * Fecha de publicación: 14 de febrero de 2006 * Software afectado por este parche: - Microsoft Windows 2000 Service Pack 4 - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP Service Pack 2 - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 Service Pack 1 - Microsoft Windows XP Professional x64 Edition - Microsoft Windows Server 2003 x64 Edition * Software NO afectado por este parche: - Microsoft Windows Server 2003 para Itanium - Microsoft Windows Server 2003 SP1 para Itanium - Microsoft Windows 98 - Microsoft Windows 98 Segunda Edición (SE) - Microsoft Windows Millennium Edition (ME) Las actualizaciones para Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1, y Microsoft Windows Server 2003 x64 Edition, también se aplican a Microsoft Windows Server 2003 R2. Estas versiones fueron testeadas y son vulnerables. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft. Windows 98, 98 SE y ME, ya no poseen soporte y solo se proporciona actualizaciones en fallos críticos a través de Windows Update (http://go.microsoft.com/fwlink/?LinkId=21130) * Descripción * Windows Media Player Plug-in Vulnerability - CVE-2006-0005 El complemento del Reproductor de Windows Media para navegadores diferentes al Internet Explorer (Netscape, etc.), es afectado por una vulnerabilidad que permite la ejecución remota de código, ocasionada por la forma en que la aplicación maneja los elementos EMBED mal formados. Un atacante podría construir un elemento EMBED malicioso, de tal modo de llegar a ejecutar código de forma remota si el usuario visita un sitio web. Si el usuario actual tiene privilegios administrativos, el atacante podrá tomar el control total del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. Si el usuario actual no posee esos privilegios, el atacante también verá restringidas sus acciones. Los usuarios de Internet Explorer no son afectados por esta vulnerabilidad. La vulnerabilidad no ha sido hecha pública, y ha sido reportada de forma privada. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Windows 2000 Service Pack 4 Actualización de seguridad para el complemento del Reproductor de Windows Media (KB911564) http://www.microsoft.com/downloads/details.aspx?familyid=CCDD 3D35-BE5C-4C43-8FFA-BB8570A7321C&displaylang=es Microsoft Windows XP Service Pack 1 y Microsoft Windows XP Service Pack 2 Actualización de seguridad para el complemento del Reproductor de Windows Media (KB911564) http://www.microsoft.com/downloads/details.aspx?familyid=CCDD 3D35-BE5C-4C43-8FFA-BB8570A7321C&displaylang=es Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1 Actualización de seguridad para el complemento del Reproductor de Windows Media (KB911564) http://www.microsoft.com/downloads/details.aspx?familyid=CCDD 3D35-BE5C-4C43-8FFA-BB8570A7321C&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms06-006.mspx El parche también está disponible a través de las actualizaciones automáticas de Windows Update. * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS06-006 www.microsoft.com/technet/security/bulletin/ms06-006.mspx Microsoft Knowledge Base Article - 911564 http://support.microsoft.com/?kbid=911564 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 7 - MS06-007 Vulnerabilidad DoS en TCP/IP (IGMP) (913446) _____________________________________________________________ http://www.vsantivirus.com/vulms06-007.htm MS06-007 Vulnerabilidad DoS en TCP/IP (IGMP) (913446) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se ha detectado un problema de seguridad en sistemas basados en Windows que podría permitir a un usuario malicioso hacer que un equipo deje de responder a las solicitudes. Puede mejorar la protección del equipo con esta actualización de Microsoft. Después de instalarla, es posible que deba reiniciar el equipo. * Nivel de gravedad: Importante * Impacto: Denegación de servicio * Fecha de publicación: 14 de febrero de 2006 * Reemplaza: Esta revisión reemplaza a la proporcionada por el siguiente boletín: MS05-019 Ejecución de código y DoS (TCP/IP) (893066) http://www.vsantivirus.com/vulms05-019.htm * Software afectado por este parche: - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP Service Pack 2 - Microsoft Windows XP Professional x64 Edition - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 Service Pack 1 - Microsoft Windows Server 2003 para Itanium - Microsoft Windows Server 2003 SP1 para Itanium - Microsoft Windows Server 2003 x64 Edition * Software NO afectado por este parche: - Microsoft Windows 2000 Service Pack 4 - Microsoft Windows 98 - Microsoft Windows 98 Segunda Edición (SE) - Microsoft Windows Millennium Edition (ME) Las actualizaciones para Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1, y Microsoft Windows Server 2003 x64 Edition, también se aplican a Microsoft Windows Server 2003 R2. Estas versiones fueron testeadas y son vulnerables. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft. Windows 98, 98 SE y ME, ya no poseen soporte y solo se proporciona actualizaciones en fallos críticos a través de Windows Update (http://go.microsoft.com/fwlink/?LinkId=21130) * Descripción * IGMP v3 DoS Vulnerability - CVE-2006-0021 Existe una vulnerabilidad que permite que un atacante pueda enviar paquetes IGMP especialmente modificados a un sistema afectado, de tal modo que el mismo deje de responder. Internet Group Management Protocol (IGMP) es un estándar TCP/IP definido en la RFC 1112, que se utiliza para intercambiar información acerca del estado de pertenencia entre enrutadores IP que admiten la multidifusión y miembros de grupos de multidifusión. El ataque solo puede causar una denegación de servicio, no puede permitir la ejecución de código ni elevar los privilegios del usuario. La vulnerabilidad no ha sido hecha pública, y fue reportada de forma privada a Microsoft. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Windows XP Service Pack 1 y Microsoft Windows XP Service Pack 2 Actualización de seguridad para Windows XP (KB913446) http://www.microsoft.com/downloads/details.aspx?familyid=7BB2 1D74-C37B-472B-BB10-71D4680680A7&displaylang=es Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1 Actualización de seguridad para Windows Server 2003 (KB913446) http://www.microsoft.com/downloads/details.aspx?familyid=78D7 DF14-6049-4318-89CA-9C8681CED8AB&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms06-007.mspx El parche también está disponible a través de las actualizaciones automáticas de Windows Update. * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS06-007 www.microsoft.com/technet/security/bulletin/ms06-007.mspx Microsoft Knowledge Base Article - 913446 http://support.microsoft.com/?kbid=913446 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 8 - MS06-008 Ejecución de código en Web Client (911927) _____________________________________________________________ http://www.vsantivirus.com/vulms06-008.htm MS06-008 Ejecución de código en Web Client (911927) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se ha detectado un problema de seguridad en Web Client Service, que podría permitir a un usuario malintencionado poner en peligro un sistema basado en Windows y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Tras instalar este elemento, es posible que deba reiniciar el equipo. * Nivel de gravedad: Importante * Impacto: Ejecución remota de código * Fecha de publicación: 14 de febrero de 2006 * Reemplaza: Esta revisión reemplaza a la proporcionada por el siguiente boletín: MS05-028 Ejecución de código en Web Client (896426) http://www.vsantivirus.com/vulms05-028.htm * Software afectado por este parche: - Microsoft Windows XP Service Pack 1 - Microsoft Windows XP Service Pack 2 - Microsoft Windows XP Professional x64 Edition - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 Service Pack 1 - Microsoft Windows Server 2003 para Itanium - Microsoft Windows Server 2003 SP1 para Itanium - Microsoft Windows Server 2003 x64 Edition * Software NO afectado por este parche: - Microsoft Windows 2000 Service Pack 4 - Microsoft Windows 98 - Microsoft Windows 98 Segunda Edición (SE) - Microsoft Windows Millennium Edition (ME) Las actualizaciones para Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1, y Microsoft Windows Server 2003 x64 Edition, también se aplican a Microsoft Windows Server 2003 R2. Estas versiones fueron testeadas y son vulnerables. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft. Windows 98, 98 SE y ME, ya no poseen soporte y solo se proporciona actualizaciones en fallos críticos a través de Windows Update (http://go.microsoft.com/fwlink/?LinkId=21130) * Descripción * Web Client Vulnerability - CVE-2006-0013 Se ha detectado un problema de seguridad en Web Client Service que podría permitir a un usuario malintencionado la ejecución remota de código. Sin embargo, aunque la vulnerabilidad puede ser explotada de forma remota, el atacante debe poder validarse correctamente en el sistema para tener éxito. El Web Client Service permite a las aplicaciones de Windows acceder a documentos en Internet, permitiendo la creación, lectura y escritura de archivos, utilizando el protocolo WebDAV. El protocolo WebDAV (World Wide Web Distributed Authoring and Versioning), funciona en los servidores IIS de Microsoft, y se compone de un conjunto de extensiones de HTTP que permiten a los usuarios manipular archivos almacenados en un servidor Web. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 Actualización de seguridad para Windows XP (KB911927) http://www.microsoft.com/downloads/details.aspx?familyid=6253 5040-5204-4469-B0BF-EAE14567C2D5&displaylang=es Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 Actualización de seguridad para Windows Server 2003 (KB911927) http://www.microsoft.com/downloads/details.aspx?familyid=FA07 3183-0C83-4F1C-BE46-A2EE8A1A1440&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms06-008.mspx El parche también está disponible a través de las actualizaciones automáticas de Windows Update. * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS06-008 www.microsoft.com/technet/security/bulletin/ms06-008.mspx Microsoft Knowledge Base Article - 911927 http://support.microsoft.com/?kbid=911927 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 9 - MS06-009 Microsoft Office 2003 Proofing Tools (901190) _____________________________________________________________ http://www.vsantivirus.com/vulms06-009.htm MS06-009 Microsoft Office 2003 Proofing Tools (901190) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Se ha detectado un problema de seguridad que podría permitir a un usuario malintencionado poner en peligro de forma remota un sistema basado en Windows y hacerse con el control del mismo. Puede mejorar la protección del equipo con esta actualización de Microsoft. Tras instalar este elemento, es posible que deba reiniciar el equipo. * Nivel de gravedad: Importante * Impacto: Elevación de privilegios * Fecha de publicación: 14 de febrero de 2006 Sólo las versiones del sistema operativo Windows en coreano son afectadas por esta vulnerabilidad. Las versiones de idiomas de Asia oriental del sistema operativo Windows incluyen el idioma coreano afectado y el Editor de Métodos de Entrada (IME), pero sólo son vulnerables si el idioma coreano IME es habilitado. Si está ejecutando cualquier otra versión de idioma del sistema operativo Windows, sólo tiene que instalar esta actualización de seguridad si ha instalado y si ha habilitado el idioma coreano IME. Sin embargo, si ha instalado Microsoft Office Proofing Tools 2003, tiene que instalar esta actualización de seguridad aunque no haya instalado el componente Herramientas de corrección de Coreano en concreto. Esto ocurre si se utiliza el Office 2003 Editions con MUI Pack. MUI Pack incluye proofing tools para Office 2003 Editions, permitiendo a los usuarios realizar edición de archivos en más de 50 idiomas. Si usted utiliza este paquete, en el siguiente enlace tendrá más información sobre los parches necesarios: www.microsoft.com/technet/security/bulletin/ms06-009.mspx Si usted no tiene un Windows en coreano, y si no descargó ni instaló el MUI Pack para editar archivos en otros idiomas, no necesita esta actualización. El parche también está disponible a través de las actualizaciones automáticas de Windows Update. * Más información: Microsoft Security Bulletin MS06-009 www.microsoft.com/technet/security/bulletin/ms06-009.mspx Microsoft Knowledge Base Article - 901190 http://support.microsoft.com/?kbid=901190 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 10 - MS06-010 Vulnerabilidad en PowerPoint 2000 (889167) _____________________________________________________________ http://www.vsantivirus.com/vulms06-010.htm MS06-010 Vulnerabilidad en PowerPoint 2000 (889167) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Existe una vulnerabilidad en la seguridad de Microsoft PowerPoint 2000 que permite la revelación de información. Esta actualización resuelve ese problema. * Nivel de gravedad: Importante * Impacto: Revelación de información * Fecha de publicación: 14 de febrero de 2006 * Software afectado por este parche: - Microsoft Office 2000 Service Pack 3 (PowerPoint 2000) * Software NO afectado por este parche: - Microsoft Office XP Service Pack 3 (PowerPoint 2002) - Microsoft Office 2003 SP1 o SP2 (PowerPoint 2003) Estas versiones fueron testeadas y son vulnerables. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft. Windows 98, 98 SE y ME, ya no poseen soporte y solo se proporciona actualizaciones en fallos críticos a través de Windows Update (http://go.microsoft.com/fwlink/?LinkId=21130) * Descripción * PowerPoint Temporary Internet Files Information Disclosure Vulnerability - CVE-2006-0004 Se ha detectado en PowerPoint 2000 una vulnerabilidad que permite la revelación de información. Un atacante puede explotar esto de forma remota para intentar acceder a objetos explícitamente por su nombre, en los archivos temporales de Internet (TIFF o Temporary Internet Files Folder). Aunque la vulnerabilidad no permite la ejecución de código o que un atacante pueda elevar sus privilegios, el problema puede producir información que podría ser utilizada para intentar comprometer al sistema afectado. El problema es ocasionado por la interacción entre PowerPoint y el Internet Explorer, cuando la aplicación intenta procesar información HTML. Un atacante puede explotar esta vulnerabilidad creando un sitio web malicioso que contenga una presentación en PowerPoint, y convencer al usuario a hacer clic en ella para que se ejecute un script malicioso. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Actualización de seguridad para PowerPoint 2000 (KB889167) http://www.microsoft.com/downloads/details.aspx?familyid=E51B 27C8-2F31-4E99-B868-CE626FED5B7D&displaylang=es El parche también está disponible a través de las actualizaciones automáticas de Windows Update. * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS06-010 www.microsoft.com/technet/security/bulletin/ms06-010.mspx Microsoft Knowledge Base Article - 889167 http://support.microsoft.com/?kbid=889167 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 11 - Bagle.FF. Gusano de Internet y caballo de Troya _____________________________________________________________ http://www.vsantivirus.com/bagle-ff.htm Nombre: Bagle.FF Nombre NOD32: Win32/Bagle.FF Tipo: Gusano de Internet y caballo de Troya Alias: Bagle.FF, Email-Worm.Win32.Bagle.fo, Email- Worm.Win32.Bagle.FO, I-Worm/Bagle, TR/Drop.Bagle.FS, Trojan/Drop.Bagle.FS, W32/Bagle.ED@mm, W32/Bagle.GZ.worm, W32/Bagle-CM, W32/Malware, W32/Sality, W32/Sality.o, Win32.HLLM.Beagle.27136, Win32/Bagle.FF, Win32:Beagle-IF, Worm.Bagle.CS, Worm.Win32.Bagle.FO Fecha: 14/feb/06 Plataforma: Windows 32-bit Tamaño: (varios) 39,020 bytes Gusano que se propaga por correo electrónico. Consta de al menos tres componentes diferentes: dos "downloader" y un "mass-mailer". El primero es un "downloader", un troyano que probablemente es enviado en forma de spam, y que descarga otro de los componentes del gusano, un segundo downloader. Cuando el segundo downloader se ejecuta, descarga un archivo de una dirección predeterminada de Internet, y lo almacena en la carpeta del sistema con un nombre al azar, para luego ejecutarlo. Este archivo (el "mass-mailer"), se encarga de propagar al gusano a través de mensajes de correo electrónico. Para ello, primero obtiene direcciones electrónicas de archivos de la máquina infectada que tengan las siguientes extensiones: .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml Al hacer esto, evita aquellas direcciones cuyos nombres contengan las siguientes cadenas: @avp. @hotmail @iana @messagelab @microsoft abuse admin anyone@ bugs@ cafee certific contract@ feste free-av f-secur gold-certs@ google help@ icrosoft info@ linux listserv local nobody@ noone@ noreply ntivi panda postmaster@ rating@ root@ samples sopho support update winrar winzip Los mensajes enviados tienen las siguientes características: De: [remitente falso] Asunto: [uno de los siguientes] - 2006 Torino Winter Games FREE Tickets - 2006 Winter Games in Torino - FREE OLYMPIC TICKETS LOTTERY! Texto del mensaje: [uno de los siguientes] Ejemplo 1: Attention: you recieved free ticket invitation with attachment! Coast to Coast Tickets provides the most comprehensive inventory of Opening Ceremony tickets available on the secondary market. If the Opening Ceremony tickets you are looking for are not available, please check back as our inventory is constantly updated. Orders for Opening Ceremony tickets that are no longer available will be cancelled or substituted at the customer's discretion. All Opening Ceremony tickets are shipped via Federal Express. If you would like to attend a Opening Ceremony event to see athletes live, or to see a team schedule and information, Coast to Coast Tickets is your source. All it takes is a phone call or a few clicks of the mouse to buy Opening Ceremony tickets. We offer a wide selection of Winter Games tickets for all teams, and we are happy to provide information about schedules at any time. Ejemplo 2: Our company (TicketWorld) is the world's largest supplier of tickets to all major international events including the 2006 Winter Games and 2006 Torino Tickets. We sell tickets to every sporting event in Torino including the preliminary competitions as well as Olympic Finals tickets. You can order Winter Games tickets for all categories for every match. All Winter Games tickets are guaranteed 200%. All ticket prices are in US Currency ($). OPEN ATTACHMENT ARCHIVE TO GET INFORMATION HOW TO OBTAIN A FREE TOCKET. Please call our United States office at +1.512.472.5797 or from the United Kingdom 0800.781.0819 if you have questions. Ejemplo 3: The Torino Winter games will be the most celebrated Olympics of our era. If you are looking to witness this historic event for yourself, look no further. SuperTicketing Premium Seating is your source for Olympics tickets. We have access to tickets for nearly every Olympic event from Opening to Closing Ceremonies, Curling to Figure Skating. FREE TICKECKS AVAILABLE NOW ON LOTTERY BASIS. CHECK ATTACHED FILE. DISCLAIMER TickCo Premium Seating buys and resells tickets on the secondary market at above face value. Our prices can be substantially higher than the original ticket price, as they reflect the cost of obtaining premium seating. Any trademarked terms that appear on this page are used for descriptive purposes only. Datos adjuntos: [uno de los siguientes archivos] Generated_bill.exe Order_details.exe Service_receipt.exe Cuando el adjunto es abierto por el usuario y ejecutado, el mismo se copia en el sistema con el siguiente nombre: c:\windows\system32\lsamgr.exe También se crean los siguientes archivos: c:\windows\wimanager.exe c:\windows\system32\lsamgr.exeopen c:\windows\system32\lsamgr.exeopenopen WIMANAGER.EXE es uno de los componentes downloaders usados por el gusano. NOTA 1: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). NOTA 2: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo. Para autoejecutarse en cada reinicio del sistema, crea la siguiente entrada en el registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run LsaManager = "c:\windows\system32\lsamgr.exe" También intenta agregarse a la lista de excepciones del firewall de Windows XP SP2, para eludir a este cortafuego. Para ello, crea la siguiente entrada en el registro: HKLM\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy \StandardProfile\AuthorizedApplications\List [Nombre y camino] = "[Nombre y camino]:*:ipsec" Borra las siguientes entradas en el registro, bajo las claves HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run y HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run: 9XHtProtect Antivirus EasyAV FirewallSvr HtProtect ICQ Net ICQNet Jammer2nd KasperskyAVEng MsInfo My AV NetDy Norton Antivirus AV PandaAVEngine service SkynetsRevenge Special Firewall Service SysMonXP Tiny AV Zone Labs Client Ex Para propagarse por redes P2P, el gusano se copia en todas las carpetas cuyo nombre contenga la cadena "SHAR", con uno de los siguientes nombres de archivos: Adobe Photoshop 9 full.exe Ahead Nero 10.exe anna benson sex video.exe barrett jackson nude photos, movies, porn video.exe Britney Spears sex photos.exe IE beta 7.exe jenna elfman sex anal deepthroat kate beckinsale nude pictures.exe miss america Porno, sex, oral, anal cool, awesome!!.exe paris hilton Porno pics arhive, xxx.exe Porno Screensaver.scr Serials 2005 database.exe Serials.txt.exe Windown Vista Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe El gusano también puede abrir una puerta trasera por el puerto TCP 6777, a través de la cuál queda a la espera de comandos de un usuario remoto. Algunos de los comandos aceptados, permiten la desinstalación del propio gusano, o descargar y ejecutar una actualización del mismo. El "downloader" contiene una lista de direcciones de Internet desde donde descargará otros archivos (puerto TCP 80): http: // debut .zoo .com/ http: // dook .zoo .by/ http: // ijj .t235 .com/ http: // ijj .t35 .com/ http: // myphotokool .t235 .com/ http: // noshit .fateback .com/ http: // 209 .16 .???? .230/ Si logra descargar un archivo, el mismo será copiado como un .EXE en la siguiente ubicación y luego ejecutado: c:\windows\system32\re_file.exe El Bagle también puede actualizarse a si mismo utilizando este método. Crea los siguientes mutex para evitar se ejecutean versiones de otros gusanos: [SkyNet.cz]SystemsMutex ____--->>>>U<<<<--____ _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_ _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_ AdmSkynetJklS003 'D'r'o'p'p'e'd'S'k'y'N'e't' vMuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D También crea los siguientes para su propio control: bagla_super_downloader_1000 smtp_bagla_1000 Un mutex (mutual exclusion object), es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo a él. Un caso concreto: si un mutex determinado (puede haber uno diferente para cada programa) está en memoria, el programa al que le corresponda ese mutex, asume que existe una sesión anterior de él mismo ejecutándose actualmente, negándose por lo tanto a hacerlo por segunda vez. Esto previene la múltiple carga del programa en memoria. El gusano contiene el siguiente texto oculto en su código: In a difficult world In a nameless time I want to survive So, you will be mine!! -- Bagle Author, 29.04.04, Germany. * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \SharedAccess \Parameters \FirewallPolicy \StandardProfile \AuthorizedApplications \List 5. Haga clic en la carpeta "List" y en el panel de la derecha, busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 2047 Año 10, miércoles 15 de febrero de 2006