|
Mostrando mensaje 170
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | VSantivirus No. 1121 Año 7, Sábado 2 de agosto de 2003 | | Fecha: | Sabado, 2 de Agosto, 2003 04:10:01 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1121 Año 7, Sábado 2 de agosto de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - El CERT advierte sobre inminentes ataques
2 - Google ayuda a los piratas a crackear sitios web
3 - W32/Mimail.A. Se propaga con el asunto "your account"
_____________________________________________________________
1 - El CERT advierte sobre inminentes ataques
_____________________________________________________________
http://www.vsantivirus.com/cert-ca-2003-19.htm
El CERT advierte sobre inminentes ataques
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
El CERT Coordination Center de la Carnegie Mellon University,
ha publicado una advertencia sobre la explotación de
conocidas vulnerabilidades en la interface RPC (Remote
Procedure Call) de Microsoft.
Estas vulnerabilidades afectan a las siguientes versiones de
Windows:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Según el CERT, existen reportes que intrusos están
actualmente escaneando y explotando una vulnerabilidad en la
interface RPC DCOM de Microsoft descrita como crítica en el
boletín MS03-026 de Microsoft
http://www.vsantivirus.com/vulms03-026-027-028.htm).
Ya han sido hechos públicos, múltiples exploits para esta
vulnerabilidad, y actualmente se están desarrollando
herramientas de exploits automatizadas mejoradas para
aprovecharse de esta vulnerabilidad.
Los exploits conocidos tienen como blanco el puerto TCP/135,
y abren un puerta trasera con un shell de comandos de
privilegios elevados en los servidores comprometidos.
Algunas versiones de estos exploits utilizan el puerto
TCP/4444, y otras un número de puerto especificado por el
intruso que ejecute el exploit.
El CERT también ha recibido reportes de actividad de escaneo
a otros puertos usados para accesos backdoor. En algunos
casos, debido a la finalización del servicio RCP, un sistema
vulnerable podría llegar a reiniciarse después de ser
accedido por un intruso.
Aparentemente existe otra vulnerabilidad de negación de
servicio adicional a la de la interface RPC de Microsoft que
también esta siendo atacada. En base a la información
obtenida actualmente, se cree que esta vulnerabilidad del
tipo DoS, es independiente de la vulnerabilidad mencionada en
el boletín MS03-026 de Microsoft.
El CERT está trabajando en la forma de entender este nuevo
problema, a los efectos de implementar las estrategias de
protección necesarias. El código de exploit para esta segunda
vulnerabilidad, también ha sido liberado públicamente y tiene
como objetivo principal el puerto TCP/135.
En ambos casos, una sesión TCP al puerto 135 es utilizada
para efectuar el ataque. Sin embargo, el acceso a los puertos
139 y 445 podrían también ser fuentes de ataques y deberían
ser considerados cuando se apliquen estrategias de
protección.
Un intruso podría explotar en forma remota estas
vulnerabilidades para ejecutar código arbitrario con
privilegios de la cuenta de sistema local, o causar una
condición de negación de servicio.
La solución es aplicar las actualizaciones mencionadas en el
boletín de seguridad MS03-026 de Microsoft, lo antes posible.
Estas actualizaciones también están disponibles mediante el
servicio Windows Update de Microsoft.
Los sistemas que se ejecutan en Windows 2000 podrían
permanecer vulnerables al ataque de negación de servicio, si
el servicio de RPC DCOM está disponible a través de la red.
Por ello se recomienda a los administradores de sitios
aplicar las recomendaciones de filtrado de paquetes
mencionadas a continuación, además de aplicar las
actualizaciones proporcionadas en el mencionado boletín de
Microsoft.
* Filtrar el Tráfico de Red.
El CERT recomienda a los administradores de sitios bloquear
el acceso a la red para el servicio RPC en los límites de la
red. Esto puede minimizar el potencial de los ataques de
negación de servicio originados desde fuera del perímetro.
Los servicios específicos que deberían ser bloqueados
incluyen:
135/TCP
135/UDP
139/TCP
139/UDP
445/TCP
445/UDP
Si el acceso no puede ser bloqueado para todos los servidores
externos, el CERT recomienda limitar el acceso solo a
aquellos servidores que lo requieran para su operación
normal. Como regla general, CERT recomienda filtrar todos los
tipos de tráfico de red que no se requieran para operación
normal.
Debido a que los exploits actuales para esta vulnerabilidad
crean una puerta trasera, que en algunos casos es instalada
en el puerto TCP/4444, el bloqueo de las sesiones TCP en los
puertos en los cuales los servicios no son legítimos podría
limitar el acceso de los intrusos a los servidores
comprometidos.
* Referencias:
CERT Advisory CA-2003-19
Exploitation of Vulnerabilities in Microsoft RPC Interface
http://www.cert.org/advisories/CA-2003-19.html
Tres nuevos parches: MS03-026, MS03-027 y MS03-028
http://www.vsantivirus.com/vulms03-026-027-028.htm
Ayudando a crear un gusano
http://www.vsantivirus.com/26-07-03.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Google ayuda a los piratas a crackear sitios web
_____________________________________________________________
http://www.vsantivirus.com/ar-google-cache.htm
Google ayuda a los piratas a crackear sitios web
Por Angela Ruiz
angela@videosoft.net.uy
[Basado en un artículo publicado por NewScientist.com]
Los piratas informáticos acuden a Google para encontrar los
puntos débiles de los sistemas, informa la publicación
NewScientist.com.
Según el informe, los piratas han adoptado una sorprendente
estrategia en sus tentativas de crackear sitios web.
Utilizando el popular motor de búsqueda de Google, no tienen
que visitar un sitio para planear un ataque. En vez de eso,
pueden obtener toda la información que necesitan de las
versiones de las páginas que Google guarda en su caché.
Una forma en que los piratas informáticos pueden ingresar a
un sitio web, es capturando páginas privadas que contienen el
nombre de usuario y las contraseñas requeridas para conseguir
el acceso a las áreas seguras del sitio. Estas páginas
generalmente se esconden de la navegación normal, porque no
existen hipervínculos a ellos en otras páginas.
Pero a veces, los sitios guardan enlaces ocultos o índices
que apuntan a estos sitios privados. Estas páginas pueden ser
creadas por un software defectuoso, o por el propio webmaster
para un uso temporal, y luego olvidadas, o no borradas
apropiadamente. De todos modos, se trata de una grave fuga de
seguridad.
Los piratas informáticos, generalmente pueden localizar estas
páginas privadas por el método de la prueba y el error, una
actividad que un webmaster alerta puede detectar controlando
el tráfico a partes del sitio que se supone son privadas.
Pero los motores de búsqueda, ahora hacen innecesaria esta
clase de escaneo, dice Johnny Long, un hacker profesional que
reside en los EEUU y que es empleado por las compañías para
probar su seguridad.
Los motores de búsqueda construyen sus bases de datos
siguiendo sistemáticamente las conexiones que encuentran en
las páginas web. El buscador registra el contenido de cada
página. Cualquier enlace a otra página también será
registrada.
A pesar de ello, para un pirata todavía serían difíciles de
encontrar estas páginas si los servidores web no utilizaran
casi siempre el mismo nombre para aquellas que contienen las
contraseñas y otra información sensible. Por ejemplo, un
nombre de archivo común para guardar las contraseñas es "bash
history". Long dice que una combinación obvia de términos de
búsqueda incluiría los términos "bash history", "temporary" y
"password".
Desde que Google hace que sus páginas guardadas en el caché
estén disponibles, los piratas pueden conseguir acceso a esta
información sin poner sobre aviso al webmaster, incluso si
los datos ya fueron borrados del sitio. Long planea resumir
esta técnica, esta semana en Defcon, la conferencia anual de
Hackers que se realiza en Las Vegas.
Google no acepta responsabilidad por la forma en que se
utilice la información reunida. "Nuestros herramientas de
búsqueda son muy útiles para los investigadores. No hay mucho
que podemos hacer para prevenir el hacking", dice un portavoz
de la compañía.
La responsabilidad por la seguridad de un sitio depende de la
gente que lo opera, expresa Danny Sullivan, editor del sitio
SearchEngineWatch.com: "Las máquinas de búsqueda hacen más
fácil a todos el obtener información, piratas informáticos
incluidos".
Por otra parte, existen técnicas que todo webmaster
responsable debería emplear, para impedir que un buscador
capture páginas que no desea sean localizadas. Entre ellas el
uso del archivo ROBOTS.TXT que puede contener información
para que sitios como Google no lo registren.
Se trata de un simple archivo de texto, en el raíz del sitio
con instrucciones como éstas:
User-agent: *
Disallow: /ejemplo
Hay más parámetros, pero es fácil darse cuenta que estas
instrucciones le dicen a cualquier buscador (User-agent: *),
que no examine el directorio /ejemplo (Disallow: /ejemplo).
El propio Google explica esto, junto a otras técnicas
diferentes, en el siguiente enlace:
¿Desea eliminar contenido del índice Google?
http://www.google.com/intl/es/remove.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Mimail.A. Se propaga con el asunto "your account"
_____________________________________________________________
http://www.vsantivirus.com/mimail-a.htm
Nombre: W32/Mimail.A
Tipo: Gusano de Internet
Alias: W32/Mimail-A, W32.Mimail.A@mm, WORM_MIMAIL_A,
Win32/Mimail.A, I-Worm.Mimail, I-Worm/Mimail,
TrojanDropper.JS.Mimail, Worm/MiMail.A
Plataforma: Windows 32-bit
Tamaños: 18,959 (.zip), 18,837 (.htm)
Fecha: 1/ago/03
Se han reportado múltiples infecciones con este gusano que se
propaga muy rápidamente.
Se recibe en un mensaje marcado como de alta prioridad y con
estas características:
De: admin@[dominio del destinatario]
Para: [dirección del destinatario]
Asunto: your account [xxxxxxxx]
Datos adjuntos: message.zip (19 Kb)
Texto:
Hello there,
I would like to inform you about important information
regarding your email address. This email address will
be expiring. Please read attachment for details.
---
Best regards, Administrator
[xxxxxxxx]
Donde [xxxxxxxx] son caracteres al azar, por ejemplo:
dhhdhkuh
El adjunto (.ZIP) debe ser abierto por el usuario. Cuando lo
hace aparece el siguiente archivo:
message.html
Si se hace doble clic sobre él, se produce la infección.
Se trata de un .HTML que contiene un script que ejecuta un
.EXE embebido en su código y comprimido a su vez con la
herramienta UPX. Las primeras líneas de este archivo,
contienen el siguiente texto:
MIME-Version: 1.0
Content-Location:File://foo.exe
Content-Transfer-Encoding: binary
El script libera la copia embebida del archivo FOO.EXE en la
carpeta de archivos descargados y lo ejecuta. Para esto, el
gusano se aprovecha de una conocida vulnerabilidad del
Internet Explorer que permite que un javascript en un archivo
HTML obtenga el acceso a los archivos del disco sin ningún
mensaje de advertencia, en una expresión como la siguiente:
mhtml:'+path+'\\message.html!File://foo.exe
Mientras tanto, el usuario ve en el navegador de Internet,
una página con fondo negro y en grandes letras rojas el
siguiente texto:
Please wait loading message .....
Más información sobre esta vulnerabilidad:
Vulnerabilidad en manipulador MHTML de Outlook Express
http://www.vsantivirus.com/vulms03-014.htm
Cuando se ejecuta, copia los siguientes archivos en el
directorio de Windows:
c:\windows\exe.tmp
c:\windows\zip.tmp
c:\windows\eml.tmp
c:\windows\videodrv.exe
Donde EXE.TMP es el gusano en el archivo HTML, ZIP.TMP es el
archivo ZIP conteniendo el gusano (utiliza el método de
almacenamiento sin compresión), y EML.TMP es la lista de e-
mails encontrados en la máquina infectada.
VIDEODRV.EXE es el ejecutable del gusano.
NOTA: "C:\Windows" puede variar de acuerdo a la versión de
Windows instalada (por defecto "C:\Windows" en Windows
9x/ME/XP o "C:\WinNT" en Windows NT/2000).
También agrega la siguiente entrada en el registro para
autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
VideoDriver = c:\windows\videodrv.exe
El gusano crea también las siguientes claves:
HKEY_CLASSES_ROOT\CLSID
{11111111-1111-1111-1111-111111111111}
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
{11111111-1111-1111-1111-111111111111}
Busca las direcciones de correo a las que se enviará, en
archivos de diferentes carpetas de la máquina infectada. Para
ello examina todos los archivos que NO tengan las siguientes
extensiones:
.avi
.bmp
.cab
.com
.dll
.exe
.gif
.jpg
.mp3
.mpg
.ocx
.pdf
.psd
.rar
.tif
.vxd
.wav
.zip
Para el envío de los mensajes, emplea su propio motor SMTP,
por lo que no depende del programa de correo instalado.
También es capaz de enviar mensajes basura al azar desde y
hacia direcciones de correo generadas en forma randómica, con
asuntos también al azar y con el archivo "c:\tmpe.tmp" como
adjunto. Este archivo solo contiene basura.
* Reparación manual
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\exe.tmp
c:\windows\zip.tmp
c:\windows\eml.tmp
c:\windows\videodrv.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
VideoDriver
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
\CLSID
5. Pinche en la carpeta "CLSID" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
{11111111-1111-1111-1111-111111111111}
6. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Code Store Database
\Distribution Units
7. Pinche en la carpeta "Distribution Units" y en el panel de
la derecha, bajo la columna "Nombre", busque y borre la
siguiente entrada:
{11111111-1111-1111-1111-111111111111}
8. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Actualizar Internet Explorer
Actualice su Internet Explorer según se explica en el
siguiente artículo:
http://www.vsantivirus.com/vulms03-020.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1121 Año 7, Sábado 2 de agosto de 2003
|
Responder a este mensaje
