Mostrando mensaje 144     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1095 Año 7, Lunes 7 de julio de 2003 Fecha: Lunes, 7 de Julio, 2003  03:26:53 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1095 Año 7, Lunes 7 de julio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - ZoneAlarm arreglaría la falla en su versión gratuita 2 - El ataque de los medios a la red 3 - Advertencia del CERT sobre virus y antivirus 4 - Troj/Backdoor.Cmjspy.B. Captura y espía todo lo tecleado _____________________________________________________________ 1 - ZoneAlarm arreglaría la falla en su versión gratuita _____________________________________________________________ http://www.vsantivirus.com/07-07-03.htm ZoneAlarm arreglaría la falla en su versión gratuita Por Angela Ruiz angela@videosoft.net.uy Un portavoz de Zone Labs, el fabricante del conocido cortafuegos ZoneAlarm, dijo que la compañía había reconsiderado una decisión previa, y finalmente actualizaría la versión gratuita de su cortafuegos para solucionar una vulnerabilidad revelada hace pocos días. La nueva versión estaría disponible dentro de dos semanas (mediados de julio), expresó la compañía. Anteriormente, Zone Labs había opinado públicamente sobre la falla, como "el equivalente a la cirugía de cerebro de un hacker" (sic), afirmando que el costo para actualizar un producto gratuito, era prohibitivo. Recordemos que la falla (ver VSA1082, "ZoneAlarm puede permitir el robo de información", http://www.vsantivirus.com/vul-za-shell.htm), permite la acción premeditada de un atacante a través de un troyano o similar, para enviar información sensible a través de parámetros de una aplicación presumiblemente segura, y que requiere conectarse a Internet (en el ejemplo, el Internet Explorer). El Zone Alarm no impide la conexión del explorador, porque el mismo está habilitado normalmente (de no estarlo, no se podría navegar con él). La versión Pro de Zone Alarm (una versión de pago), tiene una característica adicional que evita pueda usarse esta vulnerabilidad. Para ello en "Advanced Program Control", se debe configurar en "High" la opción "Program Control". Zone Labs reveló este sábado que desde la afirmación anterior (de que no arreglaría el problema en la versión gratuita), sus investigadores encontraron la manera de bloquear esta falla, sin crear una mayor complejidad para sus usuarios o su equipo de soporte. Las afirmaciones atribuidas a Zone Labs durante la semana pasada, expresaban que la compañía afirmaba que se trataba de un error del sistema operativo, y no de su software. La vulnerabilidad se basa en la utilización de funciones de Windows ampliamente documentadas (en este caso de la librería "shell32.dll"). Más tarde, el jueves pasado, Zone Labs volvió a cambiar su postura, reclamando que no existía ningún indicio del aprovechamiento del agujero por algún pirata o código malicioso, y el mismo era todavía teórico. Ahora Zone Labs anuncia para dentro de unos días una versión del ZoneAlarm gratuito con el problema solucionado. Por lo pronto, es bueno recordar que esta falla requiere que una aplicación maliciosa sea ejecutada en la computadora afectada. Para ello, un atacante tendría que haber instalado primero algún troyano, venciendo no solo otras protecciones del propio cortafuegos, sino los antivirus instalados, y el sentido común (no ejecutar nada que no hayamos solicitado por ejemplo). * Referencias: ZoneAlarm puede permitir el robo de información http://www.vsantivirus.com/vul-za-shell.htm Zone Labs http://www.zonelabs.com/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - El ataque de los medios a la red _____________________________________________________________ http://www.vsantivirus.com/ev-07-07-03.htm El ataque de los medios a la red Por Jose Luis Lopez (VSAntivirus) Para Enciclopedia Virus (*) http://www.enciclopediavirus.com/ Puede catalogarse de "hype" (exageración informativa), el anunciado "día negro para Internet". Un desafío de supuestos "hackers" para desfigurar más de 6,000 sitios en un solo día. Pero los sistemas especializados en el monitoreo de la red, no han reportado nada que salga de lo común, salvo tal vez el ataque de denegación de servicio a la propia página que debería recoger los resultados. Algunos catalogan este hecho como una especie de "venganza". Veamos los antecedentes. Una sola fuente en el llamado mundo "underground" fue quien lanzó el anuncio de esta competencia entre piratas informáticos, planificada para un día determinado, el 6 de julio de 2003. A través de una página se daban las bases para una competencia, algo que no es nada nuevo en ese ambiente, y que por lo general involucra a un número reducido de participantes. Una empresa dedicada a la seguridad tal vez exageró el nivel de la alerta, lo que motivó el apoyo de algunos servicios del gobierno norteamericano para implantar una alarma, seguramente injustificada para muchos ya en ese momento. Claro, tiene mucho que ver el temor constante de los norteamericanos a todo lo que involucre la palabra terrorismo, en este caso cibernético, aunque sea un hecho que existan ataques de este tipo todos los días. Por supuesto, la posibilidad de que se registrara una actividad mayor a la habitual ameritaba un aviso. Pero la noticia trascendió los límites de la comunidad informática que necesita estar enterada, para llegar a los medios masivos de comunicación. A partir de allí, confundir Internet con el mundo fantasioso que Hollywood siempre se empeña en mostrarnos, era solo un paso. Y vaya si se dijeron y publicaron cosas disparatadas. Como resultado, más de uno no quiso ni encender su computadora en todo el día, por aquello de "no creo en brujas, pero...". Lo cierto es que la prensa no especializada (y también alguna supuestamente "especializada"), elevaron lo que debería haber sido una simple alerta a un verdadero circo mediático. Hay un riesgo en esto. Muchos de quienes realizan estos ataques a sitios de Internet, buscan publicidad para satisfacer su ego, más que demostrar las vulnerabilidades presentes. Que tanto se haya dicho de este tema, puede ser un incentivo mayor para muchos (seguramente buscando sus quince minutos de fama), incluso entre quienes tal vez ni siquiera lo habían pensado. Y no sería exagerado aventurar que en las próximas semanas se puedan producir ataques específicos, incentivados por el ruido que han hecho los medios con ésta "noticia". Las verdaderas motivaciones de quienes cometen estos actos, en ningún momento fueron planteadas en los artículos o en la información publicada. Y además, el término hacker otra vez llenó páginas y páginas, y casi ninguno de los autores se preocupó de marcar la diferencia para llamarlos como lo que son, crackers. Para los espectadores de la película que los medios nos mostraron, otra vez los hackers son los malos. Lo cierto es que la promoción desmesurada de un supuesto desafío como el que dio lugar a este "hype", puede servir para proporcionar ímpetus adicionales a verdaderos criminales, y no contribuye en nada a reducir los riesgos implícitos en Internet, sino todo lo contrario. Tal vez motivó a los responsables de muchos sitios, a revisar su seguridad. Pero lo más probable es que haya aumentado el riesgo en la estructura de muchos otros, que además ya eran vulnerables antes de hacerse público este desafío. Y lo peor de todo, es que cada vez que los medios masivos se equivocan o exageran una noticia como ésta, suelen ignorar o darle menos importancia a noticias futuras que tal vez si ameriten una alerta. [Publicado con autorización de Enciclopedia Virus] (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=193 * Relacionados: Se anuncia un ataque masivo a más de 6,000 sitios http://www.vsantivirus.com/ev-03-07-03.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Advertencia del CERT sobre virus y antivirus _____________________________________________________________ http://www.vsantivirus.com/cert-in-2003-01.htm Advertencia del CERT sobre virus y antivirus Por Redacción VSAntivirus vsantivirus@videosoft.net.uy * Propagación de Código Malicioso y Actualización de Antivirus Un reciente informe del CERT (Computer Emergency Response Team), advierte sobre dos problemas que preocupan a los especialistas. El primero se refiere a la velocidad de propagación del código malicioso, con un claro incremento. Los tiempos de propagación de los nuevos gusanos se han reducido de horas a minutos. Lo mismo ocurre con los virus (que no se auto propagan). Variantes recientes de gusanos como el "BugBear" o el "Sobig", han logrado altas tasas de propagación en muy poco tiempo. En casi todos los casos, han sido mucho más rápidos que las actualizaciones o firmas de nuevos virus que realizan los distintos fabricantes. Según el CERT, los programas antivirus basados en firmas no son los únicos en riesgo. También lo están muchos de los que usan la heurística para detectar comportamientos maliciosos, los que pueden ser burlados por nuevas técnicas usadas por los virus. Los antivirus basados en la heurística no son totalmente confiables debido a que no siempre pueden bloquear la ejecución de código maligno. Por otra parte, existen muchos casos donde el propio antivirus es desactivado, sin el conocimiento del usuario. El segundo problema se presenta en recientes reportes recibidos por el CERT, donde algunos usuarios parecían haber tenido la falsa impresión de que con solo tener un programa antivirus instalado era suficiente para protegerse. Para el CERT, esto es una suposición equivocada. Los usuarios deberían tener precaución cada vez que manejan archivos adjuntos en el correo electrónico, o cualquier otra clase de códigos o datos que provengan de fuentes poco confiables o desconocidas. En general, es importante recordar que mientras los fabricantes de antivirus continúan mejorando la velocidad y confiabilidad de sus mecanismos de actualización, siempre existirá un corto período de tiempo en que un sistema puede no tener las firmas actualizadas para detectar un nuevo gusano o virus en particular. Investigaciones recientes han estimado el riesgo que existe durante este período de tiempo en que las actualizaciones de los antivirus no están aún disponibles. Las soluciones planteadas por el CERT son las siguientes: * Aplicar una "Defensa a Fondo" Como se mencionó, no es suficiente confiar solamente en programas antivirus para una protección completa. Por lo tanto, se recomienda a los usuarios aplicar una estrategia de "defensa a fondo" (donde son utilizadas muchas capas de seguridad o control de acceso) cuando se consideren formas de proteger las computadoras del ataque de intrusos. Aunque esto puede no ser práctico para todos los usuarios, otra forma de implementar esta defensa a fondo es utilizando diversos programas y sistemas operativos cuando sea posible. Algunas formas adicionales para mejorar la seguridad va mas allá del uso de los programas antivirus. * Ejecutar y mantener un producto antivirus Aunque un programa antivirus actualizado no protege contra todo el código malicioso, para muchos usuarios sigue siendo la primer línea de defensa. Muchos fabricantes liberan frecuentemente, herramientas e información para ayudar a detectar y recuperar un equipo infectado. Y es importante que los usuarios mantengan sus programas antivirus actualizados. El CERT recomienda usar las actualizaciones automáticas cuando las mismas estén disponibles. * No ejecutar programas de origen desconocido Nunca se debe descargar, instalar o ejecutar programas a menos que se esté seguro que son creados por una persona o compañía en la cual se confíe. Los usuarios de correo electrónico deben ser cautelosos ante los archivos adjuntos no solicitados, mientras que los usuarios de IRC, mensajería instantánea y servicios de intercambio de archivos (P2P), deben ser particularmente cautos antes de seguir enlaces o ejecutar programas enviados por otros usuarios, debido a que estos son los métodos más usados por los atacantes a la hora de construir redes dedicadas al ataque de negación de servicio distribuido (DDoS), donde cientos o miles de computadoras, atacan blancos específicos. * Deshabilitar o asegurar archivos compartidos Se debe seguir una política de mínimos privilegios. Por ejemplo, si una computadora con Windows no esta destinada para realizar funciones de servidor (por ejemplo compartir archivos o impresoras con otros usuarios), opciones como "Compartir archivos e impresoras para Redes Windows" deben ser deshabilitadas. Y quienes comparten sus recursos, deben asegurarse que se utilice la autenticación de usuarios y que cada cuenta tenga una contraseña fuerte. Además, se debe considerar el uso de un cortafuegos para controlar las computadoras que puedan acceder a estos recursos compartidos. De forma predeterminada, Windows NT, 2000 y XP crean ciertos recursos administrativos compartidos de forma oculta. Ver: "HOW TO: Create and Delete Hidden or Administrative Shares on Client Computers" http://support.microsoft.com/default.aspx?scid=kb;en-us;Q314984&sd=tech * Usar un cortafuegos El CERT recomienda usar un cortafuegos, que puede ser un dispositivo de red o un software de uso personal. En algunas situaciones, estos productos son capaces de alertar a los usuarios del hecho de que su máquina ha sido comprometida. Además, tienen la habilidad de bloquear a los intrusos que pretendan acceder a puertas traseras. * Más información: CERT Incident Note IN-2003-01 Malicious Code Propagation and Antivirus Software Updates http://www.cert.org/incident_notes/IN-2003-01.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Backdoor.Cmjspy.B. Captura y espía todo lo tecleado _____________________________________________________________ http://www.vsantivirus.com/back-cmjspy-b.htm Nombre: Troj/Backdoor.Cmjspy.B Tipo: Caballo de Troya Alias: Backdoor.Cmjspy.B, Cmjspy Fecha: 3/jul/03 Plataforma: Windows 32-bit Tamaños: 302,592 bytes, 306,688 bytes Caballo de Troya escrito en Borland Delphi y comprimido con la herramienta UPX, que captura y registra todo lo tecleado en la computadora infectada. Las variantes conocidas son similares, y solo difieren en algunos nombres de los archivos y las claves del registro creados. La información capturada puede ser descargada por un atacante utilizando un acceso del tipo backdoor (puerta trasera). Esto compromete la seguridad y privacidad del usuario infectado. Cuando esta versión se ejecuta, crea el siguiente archivo: c:\windows\system\Windgmnt.exe La carpeta de sistema es "C:\Windows\System" en Windows 9x/ME, "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003. Luego agrega alguno de los siguientes datos en el registro, para ejecutarse automáticamente en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Windll = c:\windows\system\Windgmnt.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run Wingmnt = c:\windows\system\Windgmnt.exe También crea los siguientes archivos (no contienen código malicioso alguno): c:\windows\system\Tdllcope.vxd c:\windows\system\Systemdllx.vxd c:\windows\system\Stemdllcouc.vxd c:\windows\system\Magicset.set c:\windows\system\Ppx.txt c:\windows\system\Ppkey.txt c:\windows\system\Hlicense.vxd Este último contiene los datos del teclado capturados por el troyano. El troyano suele distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. También borre los siguientes archivos: c:\windows\system\Tdllcope.vxd c:\windows\system\Systemdllx.vxd c:\windows\system\Stemdllcouc.vxd c:\windows\system\Magicset.set c:\windows\system\Ppx.txt c:\windows\system\Ppkey.txt c:\windows\system\Hlicense.vxd Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas (generalmente aparece una u otra): Windll Wingmnt 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1095 Año 7, Lunes 7 de julio de 2003