Mostrando mensaje 1240     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 2188 Año 10, miércoles 12 de julio d e 2006 Fecha: Miercoles, 12 de Julio, 2006  03:42:03 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 2188 Año 10, miércoles 12 de julio de 2006 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 01 - MS06-039 Vulnerabilidad en filtros de Office (915384) 02 - MS06-038 Vulnerabilidad en Microsoft Office (917284) 03 - MS06-037 Vulnerabilidad en Microsoft Excel (917285) 04 - MS06-036 Vulnerabilidad crítica en DHCP (914388) 05 - MS06-035 Vulnerabilidad en servicio Servidor (917159) 06 - MS06-034 Vulnerabilidad en servidor IIS (ASP) (917537) 07 - MS06-033 Revelación de información en ASP.Net (917283) 08 - IRCBot.SP. Se propaga por redes, AIM y e-mail 09 - Mocalo.DI. Utiliza e-mail y P2P, deshabilita firewall 10 - Viking.NAM. Se propaga por redes, infecta ejecutables _____________________________________________________________ 01 - MS06-039 Vulnerabilidad en filtros de Office (915384) _____________________________________________________________ http://www.vsantivirus.com/vulms06-039.htm MS06-039 Vulnerabilidad en filtros de Office (915384) * Nivel de gravedad: Crítico * Impacto: Ejecución remota de código * Fecha de publicación: 11 de julio de 2006 * Software afectado por este parche: - Microsoft Office 2003 SP1, SP2 - Microsoft Project 2003 - OneNote 2003 - Microsoft Office XP SP3 - Microsoft Office 2000 SP3 - Microsoft Project 2002 - Microsoft Project 2000 - Microsoft Works Suite 2004 - Microsoft Works Suite 2005 - Microsoft Works Suite 2006 * Software NO afectado por este parche: - Microsoft Office Viewers - Microsoft Office 2004 para Mac - Microsoft Office v. X para Mac * Descripción Esta actualización de seguridad soluciona al menos dos vulnerabilidades en los filtros de Microsoft Office, que podrían permitir la ejecución remota de código. La vulnerabilidad se produce en la manera en que Microsoft Office interpreta los archivos PNG y GIF, lo que puede ocasionar un desbordamiento de búfer con la correspondiente corrupción de la memoria operativa, y la posibilidad de ejecutar código. Un atacante remoto puede explotar con éxito esta vulnerabilidad si convence a un usuario a que visite un sitio web que contenga algún archivo de imagen con alguna de dichas extensiones, modificado maliciosamente. Si el usuario actual posee derechos administrativos, el atacante podría tomar el control total del sistema afectado. La actualización está catalogada como crítica, y debe ser instalada a la brevedad por los usuarios. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Office 2003 SP1, SP2 Actualización de seguridad para Office 2003 (KB914455) http://www.microsoft.com/downloads/details.aspx?familyid=66C1 5CD1-A33B-4EB4-9D90-87DECF053768&displaylang=es Microsoft Office XP SP3 Actualización de seguridad para Office XP (KB914796) http://www.microsoft.com/downloads/details.aspx?familyid=1506 FE89-1753-40AC-BB3E-A053B3EB6260&displaylang=es Microsoft Office 2000 SP3 Actualización de seguridad para Office 2000 (KB914797) http://www.microsoft.com/downloads/details.aspx?familyid=9B0A 1795-DA76-4935-AA90-E6AEDC0CDE6B&displaylang=es Microsoft Project 2002 Actualización de seguridad para Project 2002 (KB920102) http://www.microsoft.com/downloads/details.aspx?familyid=2194 EC63-582E-4E64-B71F-99918BF14FFA&displaylang=es Microsoft Project 2000 Actualización de seguridad para Project 2000 (KB920101) http://www.microsoft.com/downloads/details.aspx?familyid=4249 3E0C-91DE-49B0-B5B7-2214D55DE079&displaylang=es Microsoft Works Suite 2004, 2005 y 2006 Actualización de seguridad para Office XP (KB914796) http://www.microsoft.com/downloads/details.aspx?familyid=1506 FE89-1753-40AC-BB3E-A053B3EB6260&displaylang=es El parche también está disponible a través de las actualizaciones automáticas de Windows Update. * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS06-039 www.microsoft.com/technet/security/bulletin/ms06-039.mspx Microsoft Knowledge Base Article - 915384 http://support.microsoft.com/?kbid=915384 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 02 - MS06-038 Vulnerabilidad en Microsoft Office (917284) _____________________________________________________________ http://www.vsantivirus.com/vulms06-038.htm MS06-038 Vulnerabilidad en Microsoft Office (917284) * Nivel de gravedad: Crítico * Impacto: Ejecución remota de código * Fecha de publicación: 11 de julio de 2006 * Software afectado por este parche: - Microsoft Office 2003 SP1 o SP2 - Microsoft Access 2003 - Microsoft Excel 2003 - Microsoft Excel 2003 Viewer - Microsoft FrontPage 2003 - Microsoft InfoPath 2003 - Microsoft OneNote 2003 - Microsoft Outlook 2003 - Microsoft PowerPoint 2003 - Microsoft Project 2003 - Microsoft Publisher 2003 - Microsoft Visio 2003 - Microsoft Word 2003 - Microsoft Word 2003 Viewer - Microsoft Office XP SP3 - Microsoft Access 2002 - Microsoft Excel 2002 - Microsoft FrontPage 2002 - Microsoft Outlook 2002 - Microsoft PowerPoint 2002 - Microsoft Publisher 2002 - Microsoft Visio 2002 - Microsoft Word 2002 - Microsoft Office 2000 SP3 - Microsoft Access 2000 - Microsoft Excel 2000 - Microsoft FrontPage 2000 - Microsoft Outlook 2000 - Microsoft PowerPoint 2000 - Microsoft Publisher 2000 - Microsoft Word 2000 - Microsoft Project 2002 SP1 - Microsoft Visio 2002 SP2 - Microsoft Project 2000 Service Release 1 - Microsoft Office 2004 para Mac - Microsoft Office v. X para Mac * Software NO afectado por este parche: - Microsoft Works Suite 2004 - Microsoft Works Suite 2005 - Microsoft Works Suite 2006 * Descripción Este parche soluciona tres vulnerabilidades en Microsoft Office que podrían permitir la ejecución remota de código. Las vulnerabilidades pueden ser explotadas por medio de una cadena malformada incluida en un archivo de Office, cuando el mismo es abierto por la aplicación correspondiente. El archivo puede ser descargado de un sitio web malicioso, o enviado como adjunto en un correo electrónico. El archivo debe ser abierto para que el exploit tenga éxito. Si el usuario actual posee derechos administrativos, el atacante podría tomar el control total del sistema afectado. La actualización está catalogada como crítica, y debe ser instalada a la brevedad por los usuarios. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Office 2003 SP1 o SP2 - Microsoft Access 2003 - Microsoft Excel 2003 - Microsoft Excel 2003 Viewer - Microsoft FrontPage 2003 - Microsoft InfoPath 2003 - Microsoft OneNote 2003 - Microsoft Outlook 2003 - Microsoft PowerPoint 2003 - Microsoft Project 2003 - Microsoft Publisher 2003 - Microsoft Visio 2003 - Microsoft Word 2003 - Microsoft Word 2003 Viewer Actualización de seguridad para Office 2003 (KB917151) http://www.microsoft.com/downloads/details.aspx?familyid=1B11 AC6B-4A78-4A7B-995F-94738CAFE27F&displaylang=es Microsoft Office XP SP3 - Microsoft Access 2002 - Microsoft Excel 2002 - Microsoft FrontPage 2002 - Microsoft Outlook 2002 - Microsoft PowerPoint 2002 - Microsoft Publisher 2002 - Microsoft Visio 2002 - Microsoft Word 2002 Actualización de seguridad para Office XP (KB917150) http://www.microsoft.com/downloads/details.aspx?familyid=266C 287E-A773-4D9C-9736-EEAFB34FF893&displaylang=es Microsoft Office 2000 SP3 - Microsoft Access 2000 - Microsoft Excel 2000 - Microsoft FrontPage 2000 - Microsoft Outlook 2000 - Microsoft PowerPoint 2000 - Microsoft Publisher 2000 - Microsoft Word 2000 Actualización de seguridad para Office 2000 (KB917152) http://www.microsoft.com/downloads/details.aspx?familyid=776F F379-0B9D-45D5-8B3C-CF9A4BD25DAE&displaylang=es Microsoft Project 2002 SP1 Actualización de seguridad para Project 2002 (KB917150) http://www.microsoft.com/downloads/details.aspx?familyid=BF9C BFA6-5E91-4AA8-82C1-4C9A92A5B954&displaylang=es Microsoft Visio 2002 SP2 Actualización de seguridad para Visio 2002 (KB917150) http://www.microsoft.com/downloads/details.aspx?familyid=9F67 D75A-B69D-4064-942C-F5515C920E6B&displaylang=es Microsoft Project 2000 Service Release 1 Actualización de seguridad para Project 2000 (KB917152) http://www.microsoft.com/downloads/details.aspx?familyid=5C28 E38A-F323-4006-BEED-A00840CAFBCE&displaylang=es El parche también está disponible a través de las actualizaciones automáticas de Windows Update. * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS06-038 www.microsoft.com/technet/security/bulletin/ms06-038.mspx Microsoft Knowledge Base Article - 917284 http://support.microsoft.com/?kbid=917284 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 03 - MS06-037 Vulnerabilidad en Microsoft Excel (917285) _____________________________________________________________ http://www.vsantivirus.com/vulms06-037.htm MS06-037 Vulnerabilidad en Microsoft Excel (917285) * Nivel de gravedad: Crítico * Impacto: Ejecución remota de código * Fecha de publicación: 11 de julio de 2006 * Software afectado por este parche: - Microsoft Office 2003 SP1 o SP2 - Microsoft Excel 2003 - Microsoft Excel Viewer 2003 - Microsoft Office XP SP3 - Microsoft Excel 2002 - Microsoft Office 2000 SP3 - Microsoft Excel 2000 - Microsoft Office 2004 para Mac - Microsoft Excel 2004 para Mac - Microsoft Office v. X para Mac - Microsoft Excel v. X para Mac * Descripción Este actualización de seguridad soluciona ocho vulnerabilidades en Microsoft Excel que podrían permitir la ejecución remota de código. Las vulnerabilidades están relacionadas con las siguientes referencias CVE: CVE-2006-1301 - Malformed SELECTION record vulnerability CVE-2006-1302 – Malformed SELECTION record vulnerability CVE-2006-1304 – Malformed COLINFO record vulnerability CVE-2006-1306 – Malformed OBJECT record vulnerability CVE-2006-1308 – Malformed FNGROUPCOUNT Value vulnerability CVE-2006-1309 – Malformed LABEL record vulnerability CVE-2006-2388 – Rebuilding vulnerability CVE-2006-3059 – Malformed file vulnerability CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano. Las vulnerabilidades pueden ser explotadas por medio de documentos de Microsoft Excel modificados maliciosamente, cuando los mismos son abiertos por la aplicación. Los archivos pueden ser descargados de un sitio web malicioso, o enviados como adjuntos en un correo electrónico. Si el usuario actual posee derechos administrativos, el atacante podría tomar el control total del sistema afectado. La actualización está catalogada como crítica, y debe ser instalada a la brevedad por los usuarios. La actualización MS06-037 sustituye la siguiente en Excel 2000, Microsoft Excel 2002, Excel 2003, Excel Viewer 2003, Microsoft Excel 2004 para Mac y Microsoft Excel v. X para Mac: MS06-012 Ejecución de código en Office (905413) http://www.vsantivirus.com/vulms06-012.htm * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Excel 2003 (Microsoft Office 2003 SP1 o SP2) Actualización de seguridad para Excel 2003 (KB918419) http://www.microsoft.com/downloads/details.aspx?familyid=5788 518C-0FB3-4381-BB42-BCA71A4FD646&displaylang=es Microsoft Excel Viewer 2003 Actualización de seguridad para Excel Viewer 2003 (KB918425) http://www.microsoft.com/downloads/details.aspx?familyid=7796 66AB-CCD1-47A1-8A5A-B288A5204369&displaylang=es Microsoft Excel 2002 (Microsoft Office XP SP3) Actualización de seguridad para Excel 2002 (KB918420) http://www.microsoft.com/downloads/details.aspx?familyid=0828 F77F-BE33-4913-B68D-6A375D5FE130&displaylang=es Microsoft Excel 2000 (Microsoft Office 2000 SP3) Actualización de seguridad para Excel 2000 (KB918424) http://www.microsoft.com/downloads/details.aspx?familyid=D8A2 AD6D-582C-4185-ADE1-671D2128D3EE&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms06-037.mspx El parche también está disponible a través de las actualizaciones automáticas de Windows Update. * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS06-037 www.microsoft.com/technet/security/bulletin/ms06-037.mspx Microsoft Knowledge Base Article - 917285 http://support.microsoft.com/?kbid=917285 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 04 - MS06-036 Vulnerabilidad crítica en DHCP (914388) _____________________________________________________________ http://www.vsantivirus.com/vulms06-036.htm MS06-036 Vulnerabilidad crítica en DHCP (914388) * Nivel de gravedad: Crítico * Impacto: Ejecución remota de código * Fecha de publicación: 11 de julio de 2006 * Software afectado por este parche: - Microsoft Windows 2000 SP4 - Microsoft Windows XP SP1 - Microsoft Windows XP SP2 - Microsoft Windows XP Professional x64 Edition - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 SP1 - Microsoft Windows Server 2003 (Itanium) - Microsoft Windows Server 2003 SP1 (Itanium) - Microsoft Windows Server 2003 x64 Edition * Software NO afectado por este parche: - Microsoft Windows 98 - Microsoft Windows 98 Segunda Edición (SE) - Microsoft Windows Millennium Edition (Me) * Descripción Este actualización de seguridad soluciona una vulnerabilidad en el Servicio de Cliente DHCP (Dynamic Host Configuration Protocol), que podría permitir la ejecución remota de código. DHCP es un protocolo de red estándar, diseñado para facilitar la administración de direcciones IP (Internet Protocol), y que permite asignar de forma dinámica estas direcciones en redes. Para explotar esta vulnerabilidad, se requiere el envío de una comunicación DHCP maliciosa a un cliente afectado en el mismo segmento de red. Si el ataque es exitoso, se puede llegar a ejecutar código, lo que eventualmente podría permitir al atacante tomar el control total del sistema. El problema lo ocasiona un desbordamiento de búfer en el componente del servicio DHCP. Microsoft Windows 2000, Windows XP y Windows Server 2003, son los sistemas afectados por esta vulnerabilidad. Windows 98, 98 SE y Millennium, no poseen este componente. La actualización está catalogada como crítica, y debe ser instalada a la brevedad por los usuarios. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Windows 2000 SP4 Actualización de seguridad para Windows 2000 (KB914388) http://www.microsoft.com/downloads/details.aspx?familyid=7a04 fae4-6914-4ffa-b0ec-61b912d47873&displaylang=es Microsoft Windows XP SP1 y SP2 Actualización de seguridad para Windows XP (KB914388) http://www.microsoft.com/downloads/details.aspx?familyid=bf08 cc28-b359-4b27-99b2-342f832cdecc&displaylang=es Microsoft Windows Server 2003 y 2003 SP1 Actualización de seguridad para Windows Server 2003 (KB914388) http://www.microsoft.com/downloads/details.aspx?familyid=2978 c3d2-59e3-4dd4-8323-b1b2f9dfa7a5&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms06-036.mspx El parche también está disponible a través de las actualizaciones automáticas de Windows Update. * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS06-036 www.microsoft.com/technet/security/bulletin/ms06-036.mspx Microsoft Knowledge Base Article - 914388 http://support.microsoft.com/?kbid=914388 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 05 - MS06-035 Vulnerabilidad en servicio Servidor (917159) _____________________________________________________________ http://www.vsantivirus.com/vulms06-035.htm MS06-035 Vulnerabilidad en servicio Servidor (917159) * Nivel de gravedad: Crítico * Impacto: Ejecución remota de código * Fecha de publicación: 11 de julio de 2006 * Software afectado por este parche: - Microsoft Windows 2000 SP4 - Microsoft Windows XP SP1 - Microsoft Windows XP SP2 - Microsoft Windows XP Professional x64 Edition - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 SP1 - Microsoft Windows Server 2003 (Itanium) - Microsoft Windows Server 2003 SP1 (Itanium) - Microsoft Windows Server 2003 x64 Edition * Software NO afectado por este parche: - Microsoft Windows 98 - Microsoft Windows 98 Segunda Edición (SE) - Microsoft Windows Millennium Edition (Me) * Descripción Esta actualización de seguridad corrige dos vulnerabilidades en el servicio Servidor de Windows, una de ellas capaz de ejecutar código de forma remota, y la otra de revelar información sensible: 1. Desbordamiento de memoria operativa en MailSlot (Heap Overflow) (CVE-2006-1314) Mailslots es un mecanismo utilizado por las aplicaciones y los procesos para facilitar la transferencia unidireccional de datos. Esta actualización de seguridad, resuelve una vulnerabilidad del tipo desbordamiento de búfer en el driver del servicio Servidor, que permite la ejecución de código. Un atacante que explote exitosamente esta vulnerabilidad podría llegar a tomar el control total del sistema. Cualquier usuario anónimo podría explotar este fallo, enviando un paquete de red modificado maliciosamente al sistema vulnerable, incluso a través de Internet. El uso adecuado de un cortafuegos minimiza el riesgo de esta clase de ataque. 2. Revelación de información en SMB (CVE-2006-1315) Server Message Block (SMB) es el protocolo de Internet Estándar (Common Internet File System, CIFS) que Microsoft utiliza para compartir archivos, impresoras, puertos seriales, etc., y también para comunicarse entre computadoras. Este parche corrige una vulnerabilidad en dicho protocolo, que permite la revelación de información. Un atacante podría acceder de forma remota a los datos almacenados en los búferes utilizados por SMB. La actualización está catalogada como crítica, y debe ser instalada a la brevedad por los usuarios. La actualización MS06-035 sustituye la siguiente en Windows XP y Windows Server 2003: MS05-027 Ejecución de código en protocolo SMB (896422) http://www.vsantivirus.com/vulms05-027.htm * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Windows 2000 SP4 Actualización de seguridad para Windows 2000 (KB917159) http://www.microsoft.com/downloads/details.aspx?familyid=b207 020d-90f7-4c41-8304-06af0ded6467&displaylang=es Microsoft Windows XP SP1 y SP2 Actualización de seguridad para Windows XP (KB917159) http://www.microsoft.com/downloads/details.aspx?familyid=2592 a44c-82fb-4ccd-82a6-fcac7ca33172&displaylang=es Microsoft Windows Server 2003 y 2003 SP1 Actualización de seguridad para Windows Server 2003 (KB917159) http://www.microsoft.com/downloads/details.aspx?familyid=48f0 3ad7-38f9-48f4-bbfc-14c52e9c942a&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms06-035.mspx El parche también está disponible a través de las actualizaciones automáticas de Windows Update. * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS06-035 www.microsoft.com/technet/security/bulletin/ms06-035.mspx Microsoft Knowledge Base Article - 917159 http://support.microsoft.com/?kbid=917159 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 06 - MS06-034 Vulnerabilidad en servidor IIS (ASP) (917537) _____________________________________________________________ http://www.vsantivirus.com/vulms06-034.htm MS06-034 Vulnerabilidad en servidor IIS (ASP) (917537) * Nivel de gravedad: Importante * Impacto: Ejecución remota de código * Fecha de publicación: 11 de julio de 2006 * Software afectado por este parche: - Microsoft Windows 2000 SP4 - Microsoft Windows XP Professional SP1 - Microsoft Windows XP Professional SP2 - Microsoft Windows XP Professional x64 Edition - Microsoft Windows Server 2003 - Microsoft Windows Server 2003 SP1 - Microsoft Windows Server 2003 (Itanium) - Microsoft Windows Server 2003 SP1 (Itanium) - Microsoft Windows Server 2003 x64 Edition * Componentes afectados por este parche: - Microsoft Internet Information Services (IIS) 6.0 - Microsoft Internet Information Services (IIS) 5.1 - Microsoft Internet Information Services (IIS) 5.0 * Software NO afectado por este parche: - Microsoft Windows XP Home SP1 - Microsoft Windows XP Home SP2 * Descripción Este actualización de seguridad corrige un desbordamiento de búfer en los servicios de Internet Information Server (IIS), que puede ser explotado cuando se procesan archivos ASP (Active Server Pages), que hayan sido modificados maliciosamente. Aunque la explotación exitosa puede permitir la ejecución remota de código, para que ello ocurra, el atacante debería ser capaz de subir archivos ASP al servidor atacado. Normalmente es necesario que el atacante posea los derechos para hacerlo, por lo que la vulnerabilidad puede catalogarse de importante, pero no crítica. No se conocen exploits para esta vulnerabilidad. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Windows 2000 SP4 Actualización de seguridad para Windows 2000 (KB917537) http://www.microsoft.com/downloads/details.aspx?familyid=c917 d6da-da2d-402c-a870-1de3cbd21ebf&displaylang=es Microsoft Windows XP Professional SP1 y SP2 Actualización de seguridad para Windows XP (KB917537) http://www.microsoft.com/downloads/details.aspx?familyid=55d3 ca3a-97fc-4e22-8ecc-9416ebc993c4&displaylang=es Microsoft Windows Server 2003 y 2003 SP1 Actualización de seguridad para Windows Server 2003 (KB917537) http://www.microsoft.com/downloads/details.aspx?familyid=c5e2 74a8-f962-4944-8878-6b88b1592bbf&displaylang=es Descarga para otros productos: www.microsoft.com/technet/security/bulletin/ms06-034.mspx El parche también está disponible a través de las actualizaciones automáticas de Windows Update. * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS06-034 www.microsoft.com/technet/security/bulletin/ms06-034.mspx Microsoft Knowledge Base Article - 917537 http://support.microsoft.com/?kbid=917537 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 07 - MS06-033 Revelación de información en ASP.Net (917283) _____________________________________________________________ http://www.vsantivirus.com/vulms06-033.htm MS06-033 Revelación de información en ASP.Net (917283) * Nivel de gravedad: Importante * Impacto: Revelación de información * Fecha de publicación: 11 de julio de 2006 * Software afectado por este parche: - Microsoft .NET Framework 2.0 en los siguientes sistemas: Microsoft Windows 2000 SP4 Microsoft Windows XP SP1 Microsoft Windows XP SP2 Microsoft Windows XP Professional x64 Edition Microsoft Windows XP Tablet PC Edition Microsoft Windows XP Media Center Edition Microsoft Windows Server 2003 Microsoft Windows Server 2003 SP1 Microsoft Windows Server 2003 (Itanium) Microsoft Windows Server 2003 SP1 (Itanium) Microsoft Windows Server 2003 x64 Edition * Componente afectado por este parche: - ASP.Net * Software NO afectado por este parche: - Microsoft .NET Framework 1.0 - Microsoft .NET Framework 1.1 - Microsoft Windows 98 - Microsoft Windows 98 Segunda Edición (SE) - Microsoft Windows Millennium Edition (Me) * Descripción Esta actualización de seguridad, soluciona una vulnerabilidad en ASP.Net que podría permitir la divulgación de información. ASP.Net es una colección de tecnologías para el desarrollo de aplicaciones basadas en Web y servicios Web XML, incluidas dentro de .NET Framework, la infraestructura de desarrollo de aplicaciones en entorno de ejecución distribuido, apoyado por Microsoft y otras compañías. El problema corregido, se debe a que ASP.Net no valida correctamente los caminos de las URLs proporcionadas. Un atacante podría explotar este fallo de forma remota, para eludir la seguridad de ASP.Net y ganar acceso a objetos dentro de carpetas específicas, accediendo a información no autorizada, aunque no podría ejecutar código ni elevar sus privilegios de forma directa. La vulnerabilidad puede ser explotada si el atacante convence al usuario para que visite un sitio web que contenga el mismo nombre de la carpeta a acceder. * Descargas: Las actualizaciones pueden descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft .NET Framework 2.0 Actualización de seguridad de ASP.Net para .NET Framework 2.0 http://www.microsoft.com/downloads/details.aspx?familyid=56A1 777B-9758-489F-8BE8-5177AAF488D1&displaylang=es El parche también está disponible a través de las actualizaciones automáticas de Windows Update. * Nota: Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta. * Más información: Microsoft Security Bulletin MS06-033 www.microsoft.com/technet/security/bulletin/ms06-033.mspx Microsoft Knowledge Base Article - 917283 http://support.microsoft.com/?kbid=917283 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 08 - IRCBot.SP. Se propaga por redes, AIM y e-mail _____________________________________________________________ http://www.vsantivirus.com/ircbot-sp.htm Nombre: IRCBot.SP Nombre NOD32: Win32/IRCBot.SP Tipo: Gusano y caballo de Troya de acceso remoto Alias: IRCBot.SP, Backdoor.Win32.IRCBot.th, Backdoor.xBot.1, PossibleThreat!06905, W32.Nugache.A@mm, Win32.Nugache.A@mm, Win32/IRCBot.SP Fecha: 11/jul/06 Tamaño: 173,056 bytes Gusano con capacidades de caballo de Troya, capaz de propagarse a través de recursos compartidos en redes, redes de mensajería instantánea (AOL Instant Messenger, Windows Messenger). También puede propagarse por AOL mail o correo electrónico, en mensajes con las siguientes características: Asunto: [uno de los siguientes] FW: heh here hey hey there hey! hi iight k, here light lol okay sup whats up Texto del mensaje: [combinando las siguientes frases] ass boat cake clown dick douche face fag hat head here hey i almost deleted i found i promised k ok okay Shit that nigger that shift that shit that thing the file the shit wad wagon you like you wanted Datos adjuntos: [uno de los siguientes archivos] attachment.scp.scq.scr attachment.scr attachment-.scr backup.scp.scq.scr backup.scr backup-.scr details.scp.scq.scr details.scr details-.scr documents.scp.scq.scr documents.scr documents-.scr forwarded.scp.scq.scr forwarded.scr forwarded-.scr Cuando se ejecuta, crea los siguientes archivos: c:\windows\system32\mstc.exe [Application Data]\FNTCACHE.BIN La carpeta [Application Data] puede estar en cualquiera de estas ubicaciones, según la versión del sistema operativo instalado: C:\Documents and Settings\[Usuario] \Configuración local\Application Data C:\WINDOWS\Application Data NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME). También crea las siguientes entradas en el registro, la primera de ellas para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Microsoft Domain Controller = "c:\windows\system32\mstc.exe" HKCU\Software\GNU Intenta conectarse a un servidor IRC predeterminado, abre una puerta trasera por el puerto TCP 8, y queda a la espera de comandos como los siguientes, de un usuario remoto: - Acceder a un servidor FTP - Descargar, ejecutar o borrar archivos - Ejecutar un servidor Web - Realizar ataques de denegación de servicio Se vale de las siguientes vulnerabilidades para propagarse en redes: MS04-007 ASN.1 de Windows: Ejecución de código (828028) http://www.vsantivirus.com/vulms04-007.htm MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm Intenta recomprimirse a si mismo antes de propagarse, para dificultar su detección. También intenta propagarse a través de AOL Instant Messenger (AIM), si este cliente está instalado en el equipo infectado, enviándose a la lista de contactos del programa. Para ello utiliza los siguientes nombres de archivos: DSC1060193.scr mstc.exe my pic.scr self nude.scr Para no ejecutarse más de una vez en memoria, crea el siguiente mutex: d3kb5sujs50lq2mr * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * IMPORTANTE: Instalar los siguientes parches si aún no lo ha hecho: MS04-007 ASN.1 de Windows: Ejecución de código (828028) http://www.vsantivirus.com/vulms04-007.htm MS04-011 Actualización crítica de Windows (835732) http://www.vsantivirus.com/vulms04-011.htm * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \GNU 3. Haga clic en la carpeta "GNU" y bórrela. 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus". 6. Cierre el editor del registro. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 09 - Mocalo.DI. Utiliza e-mail y P2P, deshabilita firewall _____________________________________________________________ http://www.vsantivirus.com/mocalo-di.htm Nombre: Mocalo.DI Nombre NOD32: Win32/Mocalo.DI Tipo: Gusano de Internet (P2P) y caballo de Troya Alias: Mocalo.DI, Win32/Mocalo.DI Fecha: 11/jul/06 Plataformas: Windows 2000, XP, 2003 Gusano que se propaga a través de correo electrónico, y de redes P2P, utilizando diferentes nombres, los que están relacionados con conocidas aplicaciones. También ha sido enviado en forma de spam masivo, en mensajes con diferentes asuntos, textos y nombres de archivos adjuntos con extensión .ZIP, conteniendo a su vez un archivo .HTA, que a su vez posee un código en JavaScript embebido en él, que al ejecutarse descarga de Internet el componente principal del gusano. Este componente también puede ser descargado al visitar ciertos sitios maliciosos. El código en JavaScript (y el archivo HTA), es detectado por NOD32 como una variante de JS/TrojanDownloader.Tivso.gen El gusano puede obtener información de los equipos infectados, la que es enviada a un servidor FTP remoto. Cuando el gusano se ejecuta, libera una copia de si mismo con parte de su nombre seleccionado al azar, en la carpeta del sistema, además de otro archivo con extensión .DLL: c:\windows\system32\ms?? c:\windows\system32\ms??.exe c:\windows\system32\ms??32.dll Donde "??" son dos caracteres al azar. Para ocultar su actividad y permitir el acceso remoto de usuarios maliciosos, el gusano puede deshabilitar el cortafuegos de Windows XP, modificando el registro: HKCU\Software\Policies\Microsoft \WindowsFirewall\DomainProfile EnableFirewall = "dword:00000000" HKCU\Software\Policies\Microsoft \WindowsFirewall\StandardProfile EnableFirewall = "dword:00000000" HKLM\SOFTWARE\Policies\Microsoft \WindowsFirewall\DomainProfile EnableFirewall = "dword:00000000" HKLM\SOFTWARE\Policies\Microsoft \WindowsFirewall\StandardProfile EnableFirewall = "dword:00000000" También crea las siguientes entradas: HKLM\SOFTWARE\Classes\CLSID \{????????-????-????-????-????????????}\InprocServer32 (Predeterminado) = "c:\windows\system32\ms??32.dll" HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\ShellServiceObjectDelayLoad Ms??32.dll = "{????????-????-????-????-????????????}" HKLM\SOFTWARE\Microsoft\MS??\dat HKLM\SOFTWARE\Microsoft\MS??\sdat Donde {????????-????-????-????-????????????} es un identificador CLSID al azar. Para propagarse, se copia en las carpetas compartidas de diversas utilidades P2P, con nombres como los siguientes (entre otros posibles): 3dsmax_9_(3D_Studio_Max)_new!_full+crack.zip ACDSee_9_new!_full+crack.zip Adobe_Photoshop_10_(CS3)_new!_full+crack.zip Adobe_Premiere_9_(2.0_pro)_new!_full+crack.zip Ahead_Nero_8_new!_full+crack.zip DivX_7.0_new!_full+crack.zip ICQ_2006_new!_full+crack.zip Internet_Explorer_7_new!_full+crack.zip Kazaa_4_new!_full+crack.zip Longhorn_new!_full+crack.zip Microsoft_Office_2006_new!_full+crack.zip winamp_5.2_new!_full+crack.zip El archivo .ZIP contiene una copia del gusano. También puede contener un archivo de texto, con alguno de los siguientes nombres (de acuerdo al nombre del .ZIP): 3dsmax_9_(3D_Studio_Max).txt ACDSee_9.txt Adobe_Photoshop_10_(CS3).txt Adobe_Premiere_9_(2.0_pro).txt Ahead_Nero_8.txt DivX_7.0.txt ICQ_2006.txt Internet_Explorer_7.txt Kazaa_4.txt Longhorn.txt Microsoft_Office_2006.txt winamp_5.2.txt El gusano también puede descargar un archivo de Internet, el cuál es almacenado con alguno de los siguientes nombres: c:\command.exe c:\recycled\userinit.exe NOTA: No confundir con C:\COMMAND.COM Este componente, intentará eliminar las siguientes entradas del registro: HKLM\SYSTEM\CurrentControlSet\Services\FirePM HKLM\SYSTEM\CurrentControlSet\Services\KmxFile HKLM\SYSTEM\CurrentControlSet\Services\pcipim HKLM\SYSTEM\CurrentControlSet\Services\pcIPPsC HKLM\SYSTEM\CurrentControlSet\Services\RapDrv Puede crear además, la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\SOFTWARE\Microsoft \Active Setup\Installed Components \{CD5AC91B-AE7B-E83A-0C4C-E616075972F3} Stubpath = "[nombre del ejecutable]" * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Policies \Microsoft \WindowsFirewall \DomainProfile 3. Haga clic en la carpeta "DomainProfile" y en el panel de la derecha, busque y borre la siguiente entrada: EnableFirewall = "dword:00000000" 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Policies \Microsoft \WindowsFirewall \StandardProfile 5. Haga clic en la carpeta "StandardProfile" y en el panel de la derecha, busque y borre la siguiente entrada: EnableFirewall = "dword:00000000" 6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Policies \Microsoft \WindowsFirewall \DomainProfile 7. Haga clic en la carpeta "DomainProfile" y en el panel de la derecha, busque y borre la siguiente entrada: EnableFirewall = "dword:00000000" 8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Policies \Microsoft \WindowsFirewall \StandardProfile 9. Haga clic en la carpeta "StandardProfile" y en el panel de la derecha, busque y borre la siguiente entrada: EnableFirewall = "dword:00000000" 10. En el editor del registro haga clic en "Mi PC" de la ventana de la izquierda. 11. Seleccione el menú desplegable "Edición", "Buscar", y escriba en la ventana "Buscar" que será desplegada el nombre del archivo .DLL detectados en el punto 3 del ítem "Antivirus"). 12. Haga clic en el botón "Buscar siguiente". La búsqueda del punto 11 puede haberle dado el siguiente resultado: (Predeterminado) = "c:\windows\system32\ms??32.dll" 13. En este caso, tome nota de la clave CLSID relacionada (la carpeta anterior a dicha entrada), por ejemplo: HKEY_LOCAL_MACHINE \SOFTWARE \CLASSES \CLSID \{????????-????-????-????-????????????} \InprocServer32 (Predeterminado) = "c:\windows\system32\ms??32.dll" 14. Tome nota de la carpeta {????????-????-????-????- ????????????}, donde los ???? representan caracteres hexadecimales, y luego bórrela. 15. En el editor del registro haga clic en "Mi PC" de la ventana de la izquierda. 16. Seleccione el menú desplegable "Edición", "Buscar", y escriba en la ventana "Buscar" que será desplegada la clave CLSID obtenida en el punto 13: {????????-????-????-????-????????????} 17. Haga clic en el botón "Buscar siguiente" y borre todas las apariciones de dicha clave (borre todas las carpetas y otras entradas que se llamen {????????-????-????-????- ????????????}, donde las XXXX representan caracteres hexadecimales. Por ejemplo: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \ShellServiceObjectDelayLoad Borre la siguiente entrada: Ms??32.dll = "{????????-????-????-????-????????????}" 18. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \MS?? Donde "MS??" es igual al nombre de los archivos detectados en el punto 3 del ítem "Antivirus". 19. Borre la carpeta "MS??". 20. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Active Setup \Installed Components \{CD5AC91B-AE7B-E83A-0C4C-E616075972F3} 21. Borre la carpeta "{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}" 22. Cierre el editor del registro. 23. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 10 - Viking.NAM. Se propaga por redes, infecta ejecutables _____________________________________________________________ http://www.vsantivirus.com/viking-nam.htm Nombre: Viking.NAM Nombre NOD32: Win32/Viking.NAM Tipo: Gusano, caballo de Troya e infector de ejecutables Alias: Viking.NAM, Win32/Viking.NAM Fecha: 7/jul/06 Actualizado: 11/jul/06 Plataforma: Windows 32-bit Gusano y caballo de Troya que se propaga a través de recursos compartidos en redes, intenta infectar archivos .EXE, y puede modificar las configuraciones de seguridad de Windows para permitir la descarga y ejecución de archivos remotos. Cuando se ejecuta, crea los siguientes archivos: c:\windows\RUNDL132.EXE [carpeta actual]\vDll.dll RUNDL132.EXE intenta camuflarse como el auténtico RUNDLL32.EXE de Windows (usado para ejecutar un archivo DLL como una aplicación), cambiando ligeramente su nombre (note que la doble "L" en el nombre del troyano, en realidad es una "L" más el número "1". NOTA 1: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). NOTA 2: [carpeta actual] es la carpeta donde se ejecuta el troyano por primera vez. Luego examina la presencia de la siguiente entrada en el registro: HKLM\SOFTWARE\Soft\DownloadWWW auto = "1" Si existe, el troyano no hará nada más. En caso contrario la crea como marca de infección. También creará la siguiente entrada para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows load = "c:\windows\rundl132.exe" Al ejecutarse RUNDL132.EXE, VDLL.DLL es inyectado en los procesos del IEXPLORE.EXE (Internet Explorer) o EXPLORER.EXE (Explorador de Windows). El troyano intentará descargar los siguientes archivos de un sitio determinado de Internet: mx.exe mx.txt wow.exe wow.txt zt.exe zt.txt Buscará luego archivos .EXE en todas las unidades de disco de la C a la Y inclusive, para infectarlos, agregando su código al comienzo de los mismos. Las siguientes carpetas están excluidas de su búsqueda, y sus archivos no serán infectados: Common Files ComPlus Applications Documents and Settings InstallShield Installation Information Internet Explorer Messenger Microsoft Frontpage Microsoft Office Movie Maker MSN MSN Gamin Zone NetMeeting Outlook Express Program Files Recycled system System Volume Information system32 windows Windows Media Player Windows NT WindowsUpdate winnt El troyano envía paquetes ICMP a direcciones IP de una posible red local (192.168.0.30 y 192.168.8.1), y también a direcciones IP dentro del rango de la IP actual del equipo infectado. ICMP (Protocolo de mensajes de control de Internet), es una extensión del Protocolo de Internet (IP), y permite generar mensajes de error, paquetes de prueba y mensajes informativos relacionados con IP. Básicamente, se usa para comprobar la existencia de la máquina consultada. Intentará abrir las siguientes carpetas compartidas en otros equipos dentro del rango de las direcciones que respondan, siempre que tengan como usuario "administrator" y una contraseña en blanco (solo Enter): \\admin$ \\ipc$ Si la conexión es exitosa, se copiará en dichas carpetas. También se copia en todas las carpetas compartidas que tengan usuario y contraseña en blanco. Puede infectar los archivos .EXE que encuentre en dichas carpetas. El troyano intentará detener el siguiente servicio: Kingsoft AntiVirus Service * Reparación manual NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica. * Sobre el componente troyano Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm * Antivirus Actualice su antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute su antivirus en modo escaneo, revisando todos sus discos duros. 3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados. 4. Borre todos los archivos detectados como infectados. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus". Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows NT \CurrentVersion \Windows 3. Haga clic en la carpeta "Windows" y en el panel de la derecha, buscar y borrar la siguiente entrada: load = "c:\windows\rundl132.exe" 4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Soft 5. Haga clic en la carpeta "Soft" y bórrela. 6. Cierre el editor del registro. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Borrar archivos temporales 1. Cierre todas las ventanas y todos los programas abiertos. 2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter. Nota: debe escribir también los signos "%" antes y después de "temp". 3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo"). 4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables. 5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm * Borrar Archivos temporales de Internet 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet Haga clic en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Haga clic en Aceptar, etc. * Información adicional * Cambio de contraseñas En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias. * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Mantenga actualizado su programa antivirus. De poco vale tener un antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. De todos modos, hoy en día las actualizaciones de la mayoría de los fabricantes son diarias y automáticas. Si tiene un producto que no se actualiza automáticamente, piense seriamente en cambiarlo. 2) No abra ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Tampoco haga clic en enlaces sugeridos en aquellos correos o mensajes instantáneos que no solicitó. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Manténgase informado de cómo operan los virus, y de las novedades sobre éstos, alertas y anuncios críticos, en sitios como el nuestro. 4) No descargue nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceda como con los archivos adjuntos. Cópielos a una carpeta y revíselos con su antivirus debidamente actualizado, antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 2188 Año 10, miércoles 12 de julio de 2006