Mostrando mensaje 146     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1097 Año 7, Miércoles 9 de julio de 2003 Fecha: Miercoles, 9 de Julio, 2003  02:18:22 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1097 Año 7, Miércoles 9 de julio de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Desbordamiento de búfer en ShellExecute() de Win 2000 2 - Mensaje falso de la Agencia de Protección de Datos 3 - W32/Yaha.V. Variante recomprimida 4 - W32/Tantem.A. Infector de ejecutables _____________________________________________________________ 1 - Desbordamiento de búfer en ShellExecute() de Win 2000 _____________________________________________________________ http://www.vsantivirus.com/vul-shellexecute-w2k.htm Desbordamiento de búfer en ShellExecute() de Win 2000 Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Existe una vulnerabilidad del tipo desbordamiento de búfer en la función "ShellExecute()" de las API de Windows 2000 que compromete la estabilidad de los programas. El búfer es un área determinada en la memoria, usada por una aplicación para guardar ciertos datos necesarios para su funcionamiento. Las API son un conjunto de rutinas que un programa utiliza para solicitar servicios ejecutados por el sistema operativo. La función "ShellExecute()" permite la ejecución de una aplicación asociada con una extensión de archivo específica. Esto incluye programas y accesos directos. ShellExecute() está incluida en la librería SHELL32.DLL de Windows. Si se utiliza para esta función, cierto argumento que exceda los 4,000 bytes de extensión, se sobrepasa el área previamente asignada en el búfer, sobrescribiendo este exceso partes ejecutables del código principal. Un uso malintencionado de esta vulnerabilidad, puede poner en riesgo la aplicación afectada. La falla fue comprobada en SHELL32.DLL, versión 5.0.3502.6144, de Windows 2000. * Solución: La instalación del Service Pack 4 de Windows 2000, corrige el problema: Ver "Disponible Service Pack 4 en español para Windows 2000" http://www.vsantivirus.com/sp4-w2000.htm * Créditos: Yuu Arai <y.arai@lac.co.jp> Hisayuki Shinmachi * Relacionados: Windows 2000 ShellExecute() API Let Applications to Cause Buffer Overflow http://www.lac.co.jp/security/english/snsadv_e/65_e.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Mensaje falso de la Agencia de Protección de Datos _____________________________________________________________ http://www.vsantivirus.com/09-07-03.htm Mensaje falso de la Agencia de Protección de Datos Por Redacción VSAntivirus vsantivirus@videosoft.net.uy La Agencia de Protección de Datos de España (APD), tiene como finalidad velar por el cumplimiento de la legislación vigente en dicho país sobre datos personales, además de regular el tratamiento automatizado de éstos. En los últimos tiempos, se ha detectado el envío de un correo electrónico, donde se les informa a varios responsables de estos archivos automatizados, de la apertura de un proceso de carácter sancionador por el uso incorrecto de los datos gestionados. Dicho mensaje es falso, y no es enviado por la APD, aunque figura como remitente una dirección de dicha agencia. Básicamente el mensaje dice lo siguiente: Habiendo recibido denuncias acerca de sus actividades en Internet por estar usando direcciones de correo electrónico privadas que no están en ninguna de las bases de datos que aquí se encuentran, procedemos a instruirle un procedimiento sancionador, recordándole que el uso de datos de carácter personal puede suponer una multa de hasta 60.000 €. Aunque las intenciones de este falso mensaje pueden parecer oscuras, existen otras formas de engaño implementadas en nombre de la agencia, que podrían ser consideradas una clara estafa. Al respecto la agencia advierte que diferentes empresas, han recibido llamadas telefónicas que simulan ser de la ADP, mediante las cuáles se les solicitan datos de su cuenta bancaria a los efectos de pasarles los gastos por el registro de sus archivos, cuando en realidad éste trámite es gratuito. La información completa, con la advertencia publicada por la Agencia Protectora de Datos está desarrollada en este enlace: https://www.agenciaprotecciondatos.org/advertencia.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Yaha.V. Variante recomprimida _____________________________________________________________ http://www.vsantivirus.com/yaha-v.htm Nombre: W32/Yaha.V Tipo: Gusano de Internet Alias: I-Worm.Lentin.c, W32/Yaha.d@mm, W32/Lentin.B@mm, Win32/Yaha.B@mm, W32.Yaha.B@mm, W32.Yaha.C@mm, W32.Yaha.E@mm Fecha: 7/jul/03 Plataforma: Windows 32-bit Tamaño: 48,640 bytes Esta variante del Yaha es idéntica a las anteriores, salvo que se ha recomprimido su código para intentar engañar a algunos antivirus. Es un gusano de Internet que se propaga a través del correo electrónico a todos los contactos de la libreta de direcciones de Windows (WAB, Windows Address Book), lista de contactos de MSN Messenger y Yahoo Pager, así como a direcciones extractadas de archivos temporales y del caché de Internet (archivos HTM, HTML y HTA). Debido a la cantidad de variantes de este gusano, y al hecho de que cada antivirus ha examinado muestras en un orden diferente a como lo han hecho otras compañías, la denominación del virus varía entre fabricantes, causando confusión entre los usuarios. Más información detallada de esta variante: W32/Yaha.U (Yaha.T). Envío masivo de correo infectado http://www.vsantivirus.com/yaha-u.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Tantem.A. Infector de ejecutables _____________________________________________________________ http://www.vsantivirus.com/tantem-a.htm Nombre: W32/Tantem.A Tipo: Virus infector de ejecutables Alias: Win32.Mudant.887, Win32/Tantem.A, Sadovnikov, NGVCK, Worm.W32/MuttantTTeam@M, Win32/Muttanttteam Fecha: 7/jul/03 Plataforma: Windows 32-bit Tamaño: 8,192 bytes Se trata de un virus del tipo parásito (Parasitic virus). Se les llama parásitos a los virus que requieren de un portador (o host) para propagarse (otro programa), y se activa cuando ese programa es ejecutado. Infecta archivos con extensión .EXE en formato PE (Portable Executable). Este formato puede ser compartido por todos los sistemas operativos de 32 bit. No tiene capacidad para propagarse por correo electrónico, y las primeras muestras detectadas fueron distribuidas en forma manual, aparentemente por su autor, y supuestamente enviadas desde España (@yahoo.es), en mensajes de correo electrónico que dicen contener un virus. Los mensajes contienen tres archivos adjuntos, con formato .ZIP y protegidos por una contraseña única (infected). Cada uno contiene un ejecutable. Algunos de los asuntos empleados para estos mensajes: Ayuda Virus!!! Help Help! Infected File Infected Files mail infected Virus Help Needed Virus!!! Viruz!!! Como texto del mensaje, alguno de los siguientes: Password: infected Clave infected Viruz!!! Password infected Password for zip: infected With this mail i submit some filez... password infected Archivos adjuntos (tres por mensaje), con algunos de estos nombres: 50x15.zip BlondesSuckers.mpg.zip Carmen.Electra.Nude.avi.zip Cristina.Aguilera.Nude.www.yonkis.com.zip CumOnMe.CumOnMe.zip Extra Bukkake.avi.zip Hugest.Bigest.Booooobs.matura.zip Lista.Amigos.zip Mature_Suck_And_Fuck.avi.zip NewVariant.zip Nokia.3210.Crack.zip Nude.Blondes.zip Silvia.Saint.BlowJob.zip StarTrek.Klingon.Academy.Serial.zip Time_Sincronize.zip Wet.Panties.zip WinCommander.zip Windows.95.98.2k.XP.Updater_to_Win3K.zip Dentro de los .ZIP existe un .EXE de igual nombre, de 8,192 bytes, que es el virus en si mismo. La infección se produce si se ejecuta dicho archivo. El virus busca .EXE en todo el disco. En el cuerpo de su código, puede encontrarse el siguiente texto: MuttantTTeam * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Limpie los archivos detectados como infectados * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1097 Año 7, Miércoles 9 de julio de 2003