Mostrando mensaje 179     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1130 Año 7, Lunes 11 de agosto de 2003 Fecha: Lunes, 11 de Agosto, 2003  02:06:07 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1130 Año 7, Lunes 11 de agosto de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Solicitud GET de 2 GB vuelve vulnerable a Cisco IOS 2 - Cómo descargar Internet Explorer 6 SP1 en español 3 - Troj/CoolFool.A. Troyano que puede llegar como SPAM 4 - W32/Franriv.A. Creado con un kit para hacer juegos _____________________________________________________________ 1 - Solicitud GET de 2 GB vuelve vulnerable a Cisco IOS _____________________________________________________________ http://www.vsantivirus.com/vul-ioscisco-get.htm Solicitud GET de 2 GB vuelve vulnerable a Cisco IOS Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Si el servidor HTTP (Hypertext Transfer Protocol) se encuentra habilitado en Cisco IOS, el sistema puede ser vulnerable a una solicitud HTTP GET maliciosamente construida que contenga dos gigabytes de datos (2 GB). Esta condición provocará que el router se recargue con una condición de desbordamiento de búfer, que puede ser aprovechada para la ejecución de código en forma arbitraria en el sistema. Cisco IOS es un sistema operativo de Cisco Systems, que brinda servicios de conectividad para que las aplicaciones trabajen en ambientes de red, y complementa las soluciones de hardware de la empresa (routers y switches). El servidor HTTP está habilitado en Cisco IOS, si existe la IP de un servidor HTTP presente en la configuración. Son afectados todas las versiones de Cisco IOS, excepto la 12.3 y la 12.3T. Cisco PIX Firewall y el software CatOS de los productos Cisco Catalyst, tampoco son vulnerables. Esta vulnerabilidad ha sido solucionada o lo será en poco tiempo, en las versiones de Cisco IOS afectadas (12.0S, 12.1, 12.1E, 12.2, 12.2T, 12.2JA). Una solución alternativa es permitir el acceso al servicio HTTP, únicamente a una lista de hosts o redes determinadas. La sintaxis para este comando para routers y switches que ejecuten Cisco IOS es la siguiente: ip http access-class [número] access-list [número] permit host [host autorizado #1] access-list [número] permit host [host autorizado #2] [...] access-list [número] deny any El [número] de sesión válido está en el rango de 1 a 99. Existe un exploit que demuestra la vulnerabilidad. * Más información (Cisco): http://www.cisco.com/warp/public/707/cisco-sn-20030730-ios-2gb-get.shtml (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Cómo descargar Internet Explorer 6 SP1 en español _____________________________________________________________ http://www.vsantivirus.com/descarga-ie6sp1.htm Cómo descargar Internet Explorer 6 SP1 en español Por Redacción VSAntivirus vsantivirus@videosoft.net.uy [Esta es una versión actualizada del artículo publicado por primera vez el 21 de setiembre de 2002] Siguiendo las siguientes instrucciones, será posible descargar completo el Internet Explorer 6 SP1 (Service Pack 1), utilizando cualquier administrador de descargas, como FlashGet, GetRight, Go!Zilla, Download Accelerator, y otros. Una de las quejas de muchos usuarios (sobre todo de aquellos que disponen de lentas y costosas conexiones vía módem), es lo desesperante que puede resultar descargar este software por el procedimiento habitual implementado por Microsoft, con su propio descargador. Esto es aún más notorio cuando se interrumpe la descarga por cualquier motivo. Si bien el instalador original prevé esta posibilidad, se pierde siempre el último archivo si el mismo aún no se había completado. A veces, varios megas vuelven a ser descargados aunque hayan faltado unos pocos bytes para completarlo. Por otra parte, la descarga es archivo tras archivo, con el consiguiente tiempo insumido. Alejandro Muñoz, de Medellín Colombia, ha querido compartir con los lectores de VSAntivirus, un método que permite realizar la descarga en forma mucho más rápida y sin tantos problemas, utilizando cualquier gestor de descarga preferido. Una de las principales ventajas de esto, es que si la transferencia se corta u ocurre algún tipo de error, la descarga podrá continuarse en cualquier otro momento desde el punto en que se interrumpió. Si estamos bajando un CAB (paquetes de la instalación), de 2Mb y nos faltaban 100 Kb, se continuará con esos 100 Kb, y no se descargará todo el archivo desde el comienzo. Otra ventaja es que al descargar en forma simultánea varias partes del archivo (o varios archivos a la vez), se utiliza todo el ancho de banda, pero en menos tiempo, con un gran ahorro de la costosa conexión telefónica. Y aún aquellos que posean una conexión de banda ancha de 24 horas, podrán acelerar tremendamente el tiempo de descarga. Para proceder a la descarga, siga estas instrucciones: 1. Seleccione el archivo en nuestro sitio, que se corresponda con la versión de su sistema operativo. Todos son archivos .ZIP de apenas 2 o 3 Kb, que contienen lo necesario para el resto de la descarga. Las versiones disponibles son: IE 6 SP1 para Windows 2000 y XP IE 6 SP1 para Windows 98 y 98 SE IE 6 SP1 para Windows Me Descarga: http://www.vsantivirus.com/descarga-ie6sp1.htm [Nota: Estos archivos fueron actualizados a agosto de 2003] 2. Descomprima el contenido del archivo descargado en alguna carpeta creada previamente. Dentro de cada .ZIP encontrará estos archivos: filelist.dat iesetup.dir iesetup.ini Instrucciones.txt Lista.txt 3. Abra el archivo "Instrucciones.txt" con el bloc de notas, y siga los pasos allí descriptos para proceder a la descarga de la versión completa del IE 6.0 SP1 en español, que se corresponda con su sistema operativo. Más información: Alejandro Muñoz Uribe alejandromzu@hotpop.com Medellín, Colombia Actualizaciones: 10/ago/03 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/CoolFool.A. Troyano que puede llegar como SPAM _____________________________________________________________ http://www.vsantivirus.com/coolfool-a.htm Nombre: Troj/CoolFool.A Tipo: Caballo de Troya Alias: CoolFool, New-Malware.b Fecha: 10/ago/03 Tamaño: 252,416 bytes Reportado por: NAI Troyano reportado por Network Associates, cuyo código parece diseñado para enviarse en forma masiva a través del correo electrónico, aunque ello no sucede por un error en su programación. En su estado actual, solo puede ser enviado en forma de spam a través del correo electrónico, o distribuido manualmente en listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros. El mensaje conteniendo el troyano, podría tener alguno de los siguientes asuntos: FW:Messanger tool FW:FW:Msg tool very cool FW:net send tool FW:set send msg tool Con alguno de los siguientes textos en el cuerpo del mensaje: - Hey check this out it's cool and funny :-) - Super cool messanger tool, check it out ;) - nice tool, to send - net send messages El troyano contiene un archivo .DLL de 73,728 bytes embebido en su propio código, con la intención de ser instalado en el sistema. Sin embargo, tampoco se vio que ello ocurriera en las pruebas de laboratorio, según informa NAI. Cuando se ejecuta, el troyano se copia a si mismo en la carpeta SYSTEM de Windows ("C:\Windows\System" en Windows 9x/ME, "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003), con un nombre generado al azar (ejemplos: EOI3QFRP.EXE, O3FZMZPJ.EXE, etc.). También crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SystemManager = c:\windows\system\[nombre del ejecutable] * Reparación manual * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: SystemManager 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Franriv.A. Creado con un kit para hacer juegos _____________________________________________________________ http://www.vsantivirus.com/franriv-a.htm Nombre: W32/Franriv.A Tipo: Gusano de Internet (P2P) Alias: Franriv, WORM_FRANRIV.A, Worm.W32/Franriv@P2P Fecha: 8/ago/03 Tamaño: 1,274,037 bytes Plataforma: Windows 32-bit Reportado por: Trend Micro Este gusano está creado con un kit de construcción de juegos (Game Maker), utilizado maliciosamente. Se trata de "una prueba de concepto" que demuestra que algo así es posible. Sin embargo posee algunos errores que hacen que falle bajo determinadas circunstancias. Además, solo funciona en computadoras que tengan instalado Windows en la carpeta C:\WINDOWS (95, 98, Me y XP en su instalación por defecto). Se propaga a través de la red de intercambio de archivos KaZaa. Game Maker es una utilidad legítima, que permite crear video juegos en dos dimensiones que se ejecutan bajo Windows. Dicha herramienta, soporta funciones en forma de scripts, que pueden ejecutarse en respuesta a determinados eventos. Algunas de estas funciones permiten que un juego construido maliciosamente, pueda manipular el registro del sistema, además de acceder a carpetas y archivos del mismo, ejecutando cualquier programa o código en forma local. Además, permite crear otros ejecutables en formato Win32 compilándolos a partir de un código fuente. Este gusano está construido con dicha aplicación. Cuando el gusano se ejecuta, comprueba si existe la carpeta C:\WINDOWS. En caso de no existir, finaliza su ejecución mostrando una ventana con fondo azul y el siguiente texto en grandes letras rojas (la primera frase), y aún más grande y letras negras la segunda: W.66.France Virus Si por el contrario la carpeta existe, entonces se copia en ella con el siguiente nombre: c:\windows\microsoftscanreg.exe Luego, reproduce una secuencia de audio MIDI, mostrando al mismo tiempo un mensaje con el siguiente texto: Erreur Rntime [ OK ] También modifica el registro para autoejecutarse en próximos reinicios de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Scanreg = c:\windows\microsoftscanreg.exe Luego crea las siguientes subcarpetas dentro de C:\WINDOWS: c:\windows\scanregfile\ c:\windows\scanregfile\kazaa\ c:\windows\scanregfile\kazaa\My Shared Folder Se copia después dentro de ésta última, con los siguientes nombres: Age Of Mythology FR CRACK.exe Alcatraz Fr Crack.exe Allopass + audiotel Keygen 2003.exe Arx Fatalis FR CRACK.exe Battlefield 1942 FR Crack.exe Clone CD 5 keygen.exe Delphi 5 fr crack keygen.exe Delphi 6 fr crack keygen.exe Delphi 7 fr crack keygen.exe Dreamweaver MX keygen + crack by orran.exe Fire-Works MX keygen + crack by orran.exe Flash MX keygen + crack by orran.exe Madden NFL 2003 FR CRACK.exe Mafia Fr Nocd.exe Medieval Total War Fr Crack.exe Mega-Serial Microsoft Macromedia Borland Photoshop.exe Nero FR 5.6 keygen + crack.exe No One Lives Forever 2 FR CRACK.exe Office XP fr Activation crack keygen.exe Photoshop FR 7 keygen + crack by orran.exe Sim City 4 FR Crack by zorio.exe Unreal 2003 Fr Nocd.exe Visual Basic fr 6.00 crack keygen.exe Visual fr c++ crack keygen.exe Visual.net fr Activation keygen crack.exe Winace fr 4 keygen crack.exe Windows XP Activation fr home Pro keygen 2003.exe Windows XP fr home et pro SP1 crack.exe Winrar fr 3.X keygen.exe Winzip fr 8.X keygen crack.exe Finalmente modifica el registro para que dicha carpeta sea compartida con otros usuarios del KaZaa: HKCU\Software\Kazaa\LocalContent DownloadDir = "c:\windows\scanregfile\kazaa\my shared folder" * Reparación manual * Deshabilitar las carpetas compartidas de KaZaa Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación. Para ello, proceda así: 1. Ejecute KaZaa. 2. Seleccione en la barra del menú la opción: "Tools" > "Options". 3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic". 4. Pinche en "Aceptar", etc. * Finalizando el proceso del virus en memoria Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos: 1. Detenga el proceso del virus en memoria: a. en Windows 9x y Me, pulse CTRL+ALT+SUPR. b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC. 2. En ambos casos, en la lista de tareas, señale la(s) siguiente(s): MICROSOFTSCANREG.EXE 3. Seleccione el botón de finalizar tarea. En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre la carpeta SCANREGFILE y todos su contenido: c:\windows\SCANREGFILE También borre el siguiente archivo: c:\windows\microsoftscanreg.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Microsoft Scanreg 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Kazaa \LocalContent 5. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DownloadDir 6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_USERS \.DEFAULT \Software \Kazaa \LocalContent 7. Pinche en la carpeta "LocalContent" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: DownloadDir 8. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Habilitando la protección antivirus en KaZaa Desde la versión 2.0, KaZaa ofrece la opción de utilizar un software antivirus incorporado, con la intención de proteger a sus usuarios de la proliferación de gusanos que utilizan este tipo de programas. Habilitando la protección antivirus en KaZaa http://www.vsantivirus.com/kazaa-antivirus.htm * Sobre las redes de intercambio de archivos Si usted utiliza algún software de intercambio de archivos entre usuarios (P2P), debe ser estricto para revisar con dos o más antivirus actualizados, cualquier clase de archivo descargado desde estas redes antes de ejecutarlo o abrirlo en su sistema. En el caso que el programa incorpore alguna protección antivirus (como KaZaa), habilitarla es una opción aconsejada, pero los riesgos de seguridad en el intercambio de archivos siempre estarán presentes, por lo que se deben tener en cuenta las mismas precauciones utilizadas con cualquier otro medio de ingreso de información a nuestra computadora (correo electrónico, descargas de programas desde sitios de Internet, etc.). De cualquier modo, recuerde que la instalación de este tipo de programas, puede terminar ocasionando graves problemas en la estabilidad del sistema operativo. Debido a los riesgos de seguridad que implica, se desaconseja totalmente su uso en ambientes empresariales, donde además es muy notorio e improductivo el ancho de banda consumido por el programa. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1130 Año 7, Lunes 11 de agosto de 2003