Mostrando mensaje 35     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 986 - Año 7 - Jueves 20 de marzo de 2003 Fecha: Jueves, 20 de Marzo, 2003  12:31:29 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 986 - Año 7 - Jueves 20 de marzo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Maldito parche. Windows 2000 entre la espada y la pared 2 - Fallo en Windows Script Engine puede ejecutar código 3 - Fallo en filtros de ISA Server 2000 4 - W97M/Emlitch.A. Pretende que el usuario borre SFC.EXE _____________________________________________________________ 1 - Maldito parche. Windows 2000 entre la espada y la pared _____________________________________________________________ http://www.vsantivirus.com/20-03-03.htm Maldito parche. Windows 2000 entre la espada y la pared Por Jose Luis Lopez videosoft@videosoft.net.uy Según informa Microsoft en un agregado a su último boletín de seguridad (ver http://www.vsantivirus.com/vulms03-007.htm), el parche recientemente liberado para una muy grave vulnerabilidad de Windows 2000 puede llegar a bloquear el sistema en el que se instale. Esto depende de las actualizaciones descargadas anteriormente, lo que parece indicar que el nuevo parche es incompatible con otras doce actualizaciones ya existentes para dicho sistema operativo. Si usted instala el nuevo parche sin tener en cuenta esto es posible que Windows no vuelva a arrancar. Para saber si puede o no instalar sin problema el parche, los administradores que utilicen Windows 2000 con Service Pack 2 ya instalado, deberán examinar la versión del archivo "ntoskrnl.exe" presente en su sistema. Para ello, ejecute el explorador de Windows y siga estos pasos: 1. Localice el directorio C:\WinNT\System32 (o la ubicación de \System32 que corresponda a su sistema). 2. Busque el archivo "ntoskrnl.exe", y haga doble clic con el botón derecho sobre él. 3. Seleccione "Propiedades" 4. Examine si la versión que aparece en la lengüeta "Versión" está entre las siguientes: 5.0.2195.4797 a 5.0.2195.4928 (inclusive). Si se encuentra dentro de ese rango, el parche no es compatible. Esas versiones son distribuidas solo a través de las actualizaciones críticas (hotfixes) proporcionadas por el Servicio de Apoyo al Producto (Product Support Services). La ejecución de Windows 2000 con el parche instalado en esas versiones, ocasiona que la computadora se bloquee en el primer intento de reinicio con un mensaje "Stop 0x00000071", debiendo ser recuperado con la consola de recuperación de Windows 2000, y un respaldo del archivo "ntdll.dll" almacenada en el directorio "\winnt\$NTUninstallQ815021$". Microsoft indica que para actualizar Windows 2000 si usted está en ese rango de versiones incompatibles, primero debería ponerse en contacto con el Servicio de Apoyo al Producto. Más información disponible en esta dirección: http://support.microsoft.com En forma alternativa, usted puede actualizar su Windows 2000 con el Service Pack 3 (SP3), antes de instalar el mencionado parche. A pesar de todo lo que se haya dicho, y de que sin dudas se trate de una "gran metida de pata" de Microsoft, es muy grave la falla que el parche intenta corregir como para quedarse con los brazos cruzados solo porque "es otro parche que solo causa más problemas que soluciones". El uso de esta falla por parte de crackers, ya ha ocasionado la intervención de la justicia norteamericana. Según informa el propio responsable del Centro de Respuesta de Seguridad de Microsoft, ya existen denuncias de administradores de varios servidores corporativos que han sido literalmente "tomados" por intrusos conectándose desde Internet, gracias al fallo involucrado. En este caso, tanto la incompatibilidad en el parche, como la situación de extremo peligro para todos los servidores que utilicen Windows 2000 (y todos los usuarios que usen el IIS 5.0 en sus computadoras), pasa por la premura conque el parche debió ser creado, y el hecho de que la vulnerabilidad y su exploit fueron hechas públicas sin avisar al fabricante, dando tiempo para atacar y afectar a muchas computadoras antes de que los responsables se dieran cuenta de lo que estaba sucediendo. La vulnerabilidad está en la librería "ntdll.dll", utilizada por un protocolo llamado WebDAV (World Wide Web Distributed Authoring and Versioning). Consta de un conjunto de extensiones HTTP que proporcionan el estándar para editar y manejar archivos entre diferentes computadoras a través de Internet. Afecta a los sistemas que trabajan con IIS 5.0 sobre Windows 2000, aun con el Service Pack 3 instalado. El envío de un paquete HTTP modificado para explotar la falla por parte de un atacante, puede hacer que el servidor caiga o permitir la ejecución de cualquier clase de código en el contexto de seguridad local (LocalSystem). En el caso de no aplicar el parche (si su sistema es incompatible), debería deshabilitar a la brevedad posible el servicio vulnerable, todo el servidor IIS 5.0 (si no es un usuario corporativo) o seguir los consejos aportados por el CERT (UNAM/CERT, Equipo de Respuesta a Incidentes de la Universidad Nacional Autónoma de México), y que detallamos en http://www.vsantivirus.com/vulms03-007.htm. De forma alternativa, se puede deshabilitar WebDAV siguiendo las instrucciones localizadas en el Knowledge Base Article 241520, "Como deshabilitar WebDAV para IIS 5.0". http://support.microsoft.com/default.aspx?scid=kb;en-us;241520 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Fallo en Windows Script Engine puede ejecutar código _____________________________________________________________ http://www.vsantivirus.com/vulms03-008.htm Fallo en Windows Script Engine puede ejecutar código Boletín: MS03-008 Fecha: 19/mar/03 Título: Fallo en Windows Script Engine puede permitir la ejecución de código Plataforma: Todos los Windows 32-bit Productos: Internet Explorer, Outlook, Outlook Express Impacto: Alto Riesgo: Ejecución remota de código en el sistema Una vulnerabilidad en el Windows Script Engine puede permitir a un atacante ejecutar código en forma remota, implementándolo en un simple JavaScript visualizado por el Internet Explorer (IE), o en mensajes leídos con el Outlook u Outlook Express. Windows Script Engine proporciona a los sistemas Windows la capacidad de ejecutar código script. El código script suele usarse para agregar funcionalidad a páginas Web, o para automatizar tareas dentro del sistema operativo o de los propios programas. El código script puede ser escrito en diversos lenguajes como Visual Basic Script, o JScript. La falla está relacionada con la manera en que el WSE procesa la información. Concretamente en la implementación de JScript hecha por Windows Script Engine, que involucra a la librería "jscript.dll" localizada en C:\Windows\system32 (o en el directorio correspondiente al sistema operativo instalado). Un atacante podría explotar esta vulnerabilidad construyendo una página html maliciosa, que incluya un código en Javascript y que al ser visualizada por el usuario, ejecute un código determinado en la computadora de su víctima, con los privilegios de seguridad locales. La página web podría estar hospedada en un servidor, o bien ser enviada a través de un correo electrónico. Soluciones: El parche publicado por Microsoft, evita esta vulnerabilidad. Se considera la falla como crítica, por lo que se debería proceder a su instalación a la brevedad posible. Más información y descarga del parche: http://www.microsoft.com/technet/security/bulletin/MS03-008.asp O desde esta dirección: http://windowsupdate.microsoft.com/ Son afectados los usuarios con los siguientes sistemas operativos: Windows 98 Windows 98 Segunda Edición Windows Me Windows NT 4.0 Windows NT 4.0 Terminal Server Edition Windows 2000 Windows XP (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Fallo en filtros de ISA Server 2000 _____________________________________________________________ http://www.vsantivirus.com/vulms03-009.htm Fallo en filtros de ISA Server 2000 Boletín: MS03-009 Fecha: 19/mar/03 Título: Fallo en filtros de ISA Server 2000 causan Denegación de Servicio. Producto: Microsoft ISA Server 2000 Impacto: Moderado Riesgo: Denegación de Servicio El Microsoft Internet Security and Acceleration (ISA) Server 2000, posee la habilidad de aplicar filtros al tráfico de entrada. Estos filtros permiten al servidor analizar el flujo de datos para una aplicación determinada, y provee a las aplicaciones procesos específicos como inspección, visualización, bloqueo, redireccionamiento, y hasta posibilidad de modificar los datos que pasan por el cortafuegos. Este mecanismo se usa como protección contra URLs inválidas que pueden indicar intentos de ataques así como ataques contra servidores internos de DNS (Domain Name Service). Un fallo existente en la implementación de estos filtros, debido a que los mismos no manejan adecuadamente ciertos tipos de consultas dentro de solicitudes DNS, puede permitir a un atacante explotar esta vulnerabilidad enviando una solicitud DNS maliciosamente construida a un servidor ISA, provocando un ataque de denegación de servicio. Las solicitudes de DNS llegadas al servidor ISA serían detenidas por el cortafuegos, y nunca procesadas por el servidor DNS interno. Soluciones: El parche publicado por Microsoft, evita esta vulnerabilidad. Más información y descarga del parche: http://www.microsoft.com/technet/security/bulletin/MS03-009.asp O desde esta dirección: http://windowsupdate.microsoft.com/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W97M/Emlitch.A. Pretende que el usuario borre SFC.EXE _____________________________________________________________ http://www.vsantivirus.com/emlitch-a.htm Nombre: W97M/Emlitch.A Tipo: Virus de macro de Word y gusano de Internet Alias: Virus.W97M/Emlitch.A@M Plataforma: Windows 32-bit Fecha: 20/mar/03 Este virus de macro infecta documentos de Microsoft Word 97, 2000 y XP, además de propagarse a través del correo electrónico y de los canales de IRC. Cuando un archivo infectado se ejecuta, se bajan los niveles de seguridad de Word97 y Word2000 mediante la modificación del registro. También deshabilita las siguientes opciones del menú: ToolsMacro, ViewVBCode, ToolsTemplates, ToolsCustomize, FormatStyle, ViewStatusBar, ViewToolbars. Agrega la siguiente entrada al registro de Windows: HKCU\Software\Zed\SFC\WordMacro/SFC by Zed Luego, copia su código en el archivo con atributos de oculto (+H), C:\Winsnd32.snd. La propagación a través del correo electrónico, se produce a toda la libreta de direcciones, en mensajes con estas características: Asunto (uno cualquiera de la siguiente lista: Advice on computers Advice regarding computers Computer advisory Computer Virus Alert Important Important details Important info Important information Important news Important notice Info on computers News regarding computers Please read Some advice Some details Urgent Urgent details Urgent info Urgent information Urgent notice Texto del mensaje (siempre el mismo): Hello readers, I have discovered that my computer has had a computer virus, and I have removed all traces of it. This virus is causing problems for lots of computer users worldwide. However, there is a way to check to see if you have this virus on your computer system: Click "Start", and then scroll up to "Find" or "Search" and select it. Wait until the file search application appears. When the file search application appears, type "Sfc.exe" and click the find button. If your computer finds this file, DO NOT open this file. It is infected with this virus. You can delete this file, but the virus may still be active somewhere on your computer. To remove this virus, I have included a document called "Doc2.doc" which contains more instructions on how to remove this virus from your computer. NOTA: No borre SFC.EXE. Se trata de la herramienta de comprobación de archivos usada por Windows 98. Es muy importante que en caso de recibir un mensaje como éste, no haga lo que allí dice. El texto pretende ser un intento de "virus manual", es decir, nos pide a nosotros borrar un archivo que normalmente es inocente (SFC.EXE), y utilizado por Windows 98. Es un caso similar al del HOAX del JDBGMGR.EXE (ver "¿Está JDBGMGR.EXE en su computadora?. ¡NO LO BORRE!" http://www.vsantivirus.com/hoax-jdbgmgr.htm). Después de enviar el mensaje mencionado, el virus añade la siguiente información al registro: HKCU\Software\Zed\SFC\RecordContacts \[dirección enviada]\[hora del envío] La clave es examinada cada vez que el virus se ejecuta para no volver a enviar un mensaje a la misma dirección. El virus busca también aquellos mensajes aún no enviados que permanecen en la bandeja de salida y se adjunta a ellos. Esta característica permite que un mensaje legalmente enviado, lleve un adjunto no previsto (el gusano), cosa que nosotros ignoraremos. Pero el receptor podría tomarlo por válido, al ser muchas veces una respuesta a un mensaje suyo. Para propagarse a los canales de chat visitados por la víctima, el gusano busca la presencia de los programas mIRC y pIRCh, y crea un archivo SCRIPT.INI con las instrucciones para autoenviarse. El código del virus contiene el siguiente comentario, que no es mostrado en ningún momento: WordMacro/SFC by Zed * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Como limpiar documentos de Word infectados Ejecute uno o más antivirus actualizados con las últimas definiciones. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP). Programa y actualización pueden ser descargados de nuestro sitio: http://www.vsantivirus.com/f-prot.htm * Medidas complementarias con los macros En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Macro, Seguridad, y cambie el nivel a Alto. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Zed 3. Pinche en la carpeta "Zed" y bórrela. * Información adicional * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 986 - Año 7 - Jueves 20 de marzo de 2003