| Asunto: | VSantivirus No. 1079 Año 7, Sábado 21 de junio de 2003 | | Fecha: | Domingo, 22 de Junio, 2003 00:03:35 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1079 Año 7, Sábado 21 de junio de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Microsoft, punto de inflexión para la industria antivirus
2 - Ejecución de comandos en Adobe Acrobat Reader (Linux)
3 - Microsoft desaconseja la descarga del Messenger 6 beta
4 - ELF/Trojan.Typot (Stumbler). Forma una red de escaneo
_____________________________________________________________
1 - Microsoft, punto de inflexión para la industria antivirus
_____________________________________________________________
http://www.vsantivirus.com/21-06-03.htm
Microsoft, punto de inflexión para la industria antivirus
Por Angela Ruiz
angela@videosoft.net.uy
La firma de investigadores Gartner comentó sobre el reciente
anuncio de la compra de Microsoft de la tecnología antivirus
de la compañía de origen rumano GeCAD, haciendo un llamado al
gigante americano para que éste use esta adquisición enfocada
en asegurar su propio software y sus servicios, de ataques
maliciosos.
Si falla en esto, advierten los analistas, Microsoft entraría
en el mercado antivirus dejando un espacio muy pequeño para
los demás.
Si eso acontece, dice Gartner, "las empresas deberían encarar
el código malicioso con tecnologías inferiores, altos precios
y riesgos a largo plazo", y con Microsoft imponiendo sus
reglas antivirus y empujando fuera a líderes como Symantec y
Network Associates.
Pero si Microsoft emplea la tecnología de GeCAD para
construir un motor antivirus dentro del propio Windows y
proveer servicios de interfaces y APIs abiertas creadas
especialmente para mejorar las actualizaciones de los
fabricantes de antivirus, como tácita y explícitamente ha
dicho al comentar sus planes luego de la compra de esta
compañía y de su tecnología, la estrategia puede mejorar
dramáticamente la prevención contra los virus, concluye
Gartner.
En otra serie de recomendaciones, los analistas urgen a las
empresas para que empujen a los fabricantes de antivirus a
entregar productos más proactivos el año próximo, y a tomar
ventaja de las nuevas APIs de Microsoft de modo que puedan
hacer un mejor trabajo detectando virus y actualizando sus
signaturas.
Por lo pronto, este movimiento ya tiene sus primeras víctimas
entre los usuarios de Linux. Al salir del mercado GeCAD como
tal, se dejará de fabricar su antivirus RAV, una de cuyas
versiones, ampliamente usada en algunos mercados, es
justamente para este sistema operativo.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Ejecución de comandos en Adobe Acrobat Reader (Linux)
_____________________________________________________________
http://www.vsantivirus.com/vul-areader-linux.htm
Ejecución de comandos en Adobe Acrobat Reader (Linux)
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Una vulnerabilidad ha sido identificada en el lector de
archivos PDF, Adobe Acrobat Reader, que puede permitir que
usuarios maliciosos puedan crear documentos capaces de
ejecutar comandos en forma arbitraria.
Esta falla ha sido confirmada en las versiones de Acrobat
Reader para Linux. Otras versiones (Mac, Unix y Windows),
parecen no ser vulnerables.
El problema se produce porque los enlaces que activan
programas externos, pueden incluir meta caracteres que
manipulados maliciosamente, permiten a un documento ejecutar
comandos, incluso con parámetros, en forma arbitraria, y en
el contexto de seguridad del usuario que lee el documento.
Esto puede ser explotado para obtener acceso al sistema o
ganar privilegios en el mismo.
De todos modos, se requiere que el usuario haga clic sobre el
enlace.
Aunque ha sido probado exitosamente en Adobe Acrobat Reader
5.06, se consideran vulnerables todas las versiones 4.x y
5.x. Por el momento, solo se ha confirmado en las versiones
bajo Linux (todas las versiones de Linux).
Cómo solución alternativa se recomienda no abrir documentos
PDF sin haber comprobado su autenticidad.
Descubierto por: Martyn Gilmore
Reportado por: Hack4Life
* Referencias:
Adobe Acrobat Reader Command Execution
http://www.secunia.com/advisories/9038/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Microsoft desaconseja la descarga del Messenger 6 beta
_____________________________________________________________
http://www.vsantivirus.com/21-06-03b.htm
Microsoft desaconseja la descarga del MSN Messenger 6 beta
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Microsoft ha advertido a los usuarios de su producto MSN
Messenger, a no descargar ni ejecutar las versiones betas de
su próxima nueva versión 6, debido a que este software no
está preparado para el consumidor final.
Versiones previas del MSN Messenger 6 han aparecido en
docenas de sitios Web. Microsoft ha aclarado que estas
versiones son para uso interno solamente, e ignora como han
sido distribuidas.
MSN Messenger 6 promete importantes mejoras a su interface,
nuevas características de personalización, juegos online
integrados, y características propias de video y chat. La
versión final del MSN Messenger 6 estará pronta recién en
agosto o setiembre de 2003 como muy tarde, después que una
versión previa esté disponible para el público en las
próximas semanas.
La versión beta estaba pensada solo para uso interno.
Microsoft desalienta a los usuarios su descarga de sitios que
no tienen la autorización para ofrecerla, ya que su código
está incompleto y falta información, explicó la división MSN
de Microsoft en una advertencia distribuida la semana pasada.
Microsoft se ha puesto en contacto con cada sitio que ofrece
la descarga de la versión beta, para que la retiren, explicó
Larry Grothaus, jefe de producto de MSN. Los usuarios deberán
tener paciencia y esperar la versión previa pública (conocida
como "Public Preview"), dijo.
Microsoft también ha mencionado que aunque no existen
problemas de estabilidad con la versión beta, no quiere que
los usuarios descarguen ésta de sitios no autorizados. La
compañía prefiere controlar la distribución, para cerciorarse
que sus clientes utilicen las versiones completas del
software.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - ELF/Trojan.Typot (Stumbler). Forma una red de escaneo
_____________________________________________________________
http://www.vsantivirus.com/typot.htm
Nombre: ELF/Trojan.Typot
Tipo: Caballo de Troya (Linux)
Alias: 55808, Stumbler, Dubbed Stumbler, Trojan.Linux.Typot,
ELF_TYPOT.A, ELF_TYPOT.B
Fecha: 20/jun/03
Plataforma: Linux
Tamaño: 116,580 bytes (A), 456,321 bytes (B)
Este troyano afecta solo a sistemas Linux. Sin embargo,
pueden existir variantes para otros Unix. Parece basado en
otros troyanos creados originalmente para Windows.
Hasta el momento se han detectado dos variantes, que difieren
solo en el tamaño de su código (116,580 bytes la "A" y
456,321 bytes la "B"). El troyano genera paquetes TCP de
55,808 bytes.
Una vez por segundo, el troyano envía paquetes TCP falsos a
la red, generando un aumento notorio de tráfico. Las
direcciones IP origen y destino de esos paquetes son creadas
en forma randómica. Las únicas características fijas de los
paquetes parece ser el tamaño de 55,808 bytes.
Adicionalmente, el troyano escudriña el tráfico de la red,
interceptando cualquier paquete con el mismo tamaño de
ventana que él genera (creados por otros equipos infectados).
Cada vez que detecta alguno, agrega la información contenida
en el mismo a un archivo llamado "r" en el directorio actual
(generalmente "/tmp/.../r").
Cada 24 horas, examina si el archivo "r" existe, y en caso
afirmativo se conecta a una dirección IP fija para enviarlo.
Esta dirección (12.108.65.76), está especificada en su código
(presuntamente un equipo controlado por el autor). Para ello
utiliza el puerto TCP/22, normalmente usado también por SSH.
SSH (Secure Shell), es un software cuya principal función es
permitir la conexión remota segura a sistemas a través de
canales inseguros, aunque también se utiliza para la
ejecución de órdenes en ese sistema remoto o transferir
archivos desde o hacia él de manera fiable.
El troyano está preparado para recibir un paquete especial
que puede contener una sucesión de direcciones IP a las que
podría enviar su información, en lugar de la dirección fija,
pero ello no está habilitado en esta versión.
Si la conexión falla, el troyano borra el archivo
"/tmp/.../a" y se quita él mismo del sistema. El archivo
eliminado es el propio ejecutable del troyano.
Si la conexión es exitosa, borra en cambio el archivo
"/temp/.../r" y continúa escaneando. Cuando intercepte
paquetes con las características ya explicadas, volverá a
crear dicho archivo para copiar allí la nueva información,
continuando el ciclo.
Utiliza enlaces estáticos a las librerías libnet y libpcap
para la captura y falsificación del tráfico de red. El código
del troyano esta encriptado con un simple XOR (máscara que
opera bit a bit cada byte).
* Información para administradores
Se recomienda implementar alguna regla que notifique
cualquier conexión con las direcciones mencionadas, por
ejemplo:
alert tcp any any -> 12.108.65.76/32 22 (msg:"Stumbler Trojan";)
Otros signos de infección son la existencia de los archivos
"/tmp/…/a" y "/tmp/…/r", o que la interface de red se
encuentre en modo promiscuo.
* Más información:
"Stumbler", una red distribuida y oculta de escaneo
http://www.vsantivirus.com/ev-stumbler.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1079 Año 7, Sábado 21 de junio de 2003
|
VSantivirus No. 10
Responder a este mensaje
