Mostrando mensaje 193     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1144 Año 7, Lunes 25 de agosto de 2003 Fecha: Lunes, 25 de Agosto, 2003  07:27:47 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1144 Año 7, Lunes 25 de agosto de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Gusano se aprovecha de contraseñas nulas en SQL Server 2 - Alerta de Spyware: CoolWebSearch (CWS) 3 - Hoax: Chica desaparecida (SPAM) _____________________________________________________________ 1 - Gusano se aprovecha de contraseñas nulas en SQL Server _____________________________________________________________ http://www.vsantivirus.com/sql-voyager-alpha-force.htm Gusano se aprovecha de contraseñas nulas en SQL Server Por Angela Ruiz angela@videosoft.net.uy Un gusano conocido como "Voyager Alpha Force", se aprovecha de servidores Microsoft SQL Server instalados con contraseñas de administrador en blanco (sa), para la ejecución de un archivo ejecutable descargado de un sitio FTP en las Filipinas. Los servidores SQL permiten la gestión y el análisis de bases de datos para todos los tipos de aplicaciones de procesos empresariales, comercio electrónico y sitios de Internet en general. El gusano busca computadoras que estén ejecutando estos servidores, escaneando la presencia de un puerto 1433 abierto, el cuál es el puerto estándar para el Microsoft SQL Server. Si el gusano encuentra un servidor en este puerto, intenta acceder a él con la contraseña asignada por defecto al administrador del sistema. En una instalación con valores predeterminados, estos servidores habilitan esta contraseña (sa) como nula (solo Enter). Si el acceso es exitoso, el gusano envía la dirección IP del servidor SQL desprotegido a un canal de IRC (Internet Relay Chat), e intenta descargar y luego ejecutar un archivo localizado en un servidor FTP en Filipinas. Al logearse con las contraseñas del usuario administrativo (sa), el gusano puede tener el acceso total a la computadora con el servidor SQL, y de acuerdo a la configuración del mismo, posiblemente también a otras computadoras. Microsoft aconseja ciertos procedimientos para asegurar estos servidores, entre ellos el cambio de la contraseña del usuario administrativo, y por supuesto no utilizar jamás contraseñas por defecto o vacías (solo Enter), en ninguna instalación realizada. Lamentablemente, esta práctica, contra lo que podría pensarse, es mucho más común de lo que parece. Otras recomendaciones son bloquear el puerto 1433 y asignar a estos servidores un puerto diferente. También se aconseja ejecutar el servicio SQLServer y SQL Server Agent, bajo una cuenta de Windows NT ordinaria, y no bajo una cuenta administrativa local. Aquellos que crean tener comprometidos sus sistemas, pueden encontrar información para recuperarlos, en los siguientes enlaces del CERT (Computer Emergency Response Team): Steps for Recovering from a UNIX or NT System Compromise http://www.cert.org/tech_tips/win-UNIX-system_compromise.html Intruder Detection Checklist http://www.cert.org/tech_tips/intruder_detection_checklist.html Es bueno hacer notar que este gusano se vale de una instalación inadecuada del sistema, y no de alguna falla en el software propiamente dicho. La presencia de los siguientes archivos en un sistema SQL Server, podría indicar una infección con este gusano: rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 ) dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 ) win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 ) MD5 (Message Digest Algorithm #5), es un algoritmo de cifrado que realiza la comprobación de la integridad de archivos binarios, mediante la generación de códigos de control llamados "hashes", una clase de huella digital única. Si los archivos existen, puede comprobarse si son los creados por el troyano, con alguna herramienta MD5, comparando los valores arriba indicados. También podría ser una señal de la presencia del gusano, la aparición de la siguiente clave en el registro de Windows: \SOFTWARE\Microsoft\Windows\CurrentVersion\Run TaskReg Las siguientes claves, normalmente son agregadas en la instalación normal de un servidor SQL, pero también son usadas por el gusano para controlar su acceso a la computadora utilizando las librerías de redes TCP/IP: \SOFTWARE\Microsoft\MSSQLServer\Client \SuperSocketNetLib\ProtocolOrder \SOFTWARE\Microsoft\MSSQLServer\Client \ConnectTo\DSQUERY El gusano hace uso del procedimiento "xp_cmdshell" para ejecutar comandos del sistema operativo, con los mismos permisos de la cuenta en que se esté ejecutando el SQL Server. Los siguientes enlaces proveen información para hacer más seguro un servidor SQL: http://www.microsoft.com/technet/prodtechnol/sql/maintain/security/sp3sec/Default.asp http://www.microsoft.com/sql/techinfo/administration/2000/security/default.asp Esta advertencia se aplica a los siguientes productos: Microsoft SQL Server 2000 (todas las ediciones) Microsoft SQL Server 7.0 Microsoft Data Engine (MSDE) 1.0 Del gusano propiamente dicho (llamado "Voyager Alpha Force"), no hay al momento una descripción más detallada. * Más información: Microsoft Knowledge Base Article - 313418 PRB: Unsecured SQL Server with Blank (NULL) SA Password Leaves Vulnerability to a Worm http://support.microsoft.com/default.aspx?scid=kb;en-us;313418 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Alerta de Spyware: CoolWebSearch (CWS) _____________________________________________________________ http://www.vsantivirus.com/spy-cws.htm Alerta de Spyware: CoolWebSearch (CWS) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Una de las características de este spyware, es que el mismo se transforma muy rápidamente. A continuación se detallan algunas de las variantes y su fecha aproximada de aparición, en orden cronológico inverso: º DNSRelay.dll – 7/ago/2003 º Svchost32.exe – 3/ago/2003 º Oemsyspnp.inf – 29/jul/2003 º Msspi.dll – 28/jul/2003 º vrape.hardloved-com – 20/jul/2003 º OSLogo.bmp – 10/jul/2003 º Bootconf.exe – 6/jul/2003 º www.datanotary-com – 27/may/2003 Los SPYWARES, son programas que capturan datos sobre el uso de la computadora, cómo sitios visitados, etc., para luego enviarlos a determinados servidores, o utilizarlos en alguna forma clandestina. CoolWebSearch es el nombre dado a una gran variedad de una clase de spywares conocidos como "secuestradores del navegador" (browser hijackers). El código es muy diferente entre cada una de las distintas variantes, pero todas son usadas actualmente para redireccionar a los usuarios al sitio coolwebsearch-com o sus afiliados. La principal característica en este caso, es la rápida proliferación de las distintas versiones de este spyware, casi todas diferentes, lo que aumenta la dificultad para eliminarlo. Estos son algunos de los detalles documentados para cada una de las versiones: º DNSRelay.dll - Se engancha a toda URL manejada por el Internet Explorer. Intercepta todo lo escrito en la barra de direcciones, así como cualquier nombre de sitio ingresado sin el "http://"; o "www", para redireccionar la búsqueda al sitio activexupdate-com (un sitio afiliado a CWS a través de yellow2-com) y a allhyperlinks-com. º Svchost32 - Secuestra al archivo HOSTS para aplicar una técnica que le permite eludir la detección de las herramientas que detectan este tipo de spyware. Todos los buscadores, como Yahoo, MSN, y todas las versiones de Google (diferentes países), son puestos en el archivo HOSTS, apuntando a una dirección local (localhost, 127.0.0.1). HOSTS es un archivo en formato texto, sin extensión, ubicado en windows\hosts o windows\system32\drivers\etc\hosts, dependiendo de la versión de Windows. Dicho archivo es usado por el sistema operativo para asociar nombres de dominio con direcciones IP. Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS. Debido a que la mayoría de las computadoras no está ejecutando un servidor web, el sistema genera un mensaje de error, que el spyware intercepta, redireccionando el navegador al sitio de búsqueda de CWS, slawsearch-com. º Oemsyspnp - Se esconde dentro de la carpeta INF, usualmente utilizada para almacenar información sobre drivers. Su archivo se ejecuta en cada reinicio de Windows, utilizando siempre diferentes comandos para ello. Secuestra la página de inicio y modifica las configuraciones para el buscador del IE, para que apunten al sitio www.adulthyperlinks-com y www.allhyperlinks-com. Además agrega el sitio activexupdate.com a la zona de sitios de confianza en el IE. º Msspi.dll - Implementado como Winsock2 Layered Service Provider, intercepta los resultados de cualquier búsqueda en Google, Yahoo o Altavista, ofreciendo ventanas del tipo pop- ups con publicidad relacionada con la búsqueda, además de avisos de unipages-cc. º OSLogo.bmp - Las páginas de inicio y de búsqueda del IE, son cambiadas por las de diferentes sitios afiliados con CoolWebSearch. Se han detectado por lo menos unos 80 dominios relacionados con CWS. º Bootconf - Agrega una hoja de estilo en la carpeta de Windows, y modifica el registro para transformarla en la hoja de estilo por defecto para todas las páginas visualizadas en el IE. Intercepta la página de inicio, y todas las configuraciones de los diferentes buscadores, para redireccionarlos a coolwebsearch-com. Los nombres de los sitios son alterados utilizando técnicas de codificación de las URL, que hacen dificultosa su lectura. Bootconf.exe es configurado para ejecutarse en cada reinicio. El sitio principal de CoolWebSearch es agregado a la lista de sitios de confianza del IE. º Datanotary - Es la primera variante conocida. Agrega una hoja de estilo en la carpeta de Windows, y modifica el registro para transformarla en la hoja de estilo por defecto para todas las páginas visualizadas en el IE. Esta hoja agrega un javascript que intentará actuar cuando el usuario vea imágenes pornográficas. Todos estos spywares, podrían instalarse explotando vulnerabilidades del IE a través de pop-ups que se abren al visitar un sitio relacionado con CoolWebBrowser. Al menos en una de sus variantes (Bootconf.exe), el sitio principal de CoolWebSearch es agregado a la lista de sitios de confianza del IE. Esto habilita que se pueda descargar e instalar prácticamente cualquier clase de código desde allí. Las variantes Datanotary y Bootconf, pueden causar un significativo enlentecimiento cuando se está escribiendo en algún formulario, datos de búsqueda, etc. La variante SvcHost impide utilizar los buscadores como Google, MSN o Yahoo. La remoción manual es posible en todos los casos, pero muy dificultosa. Las herramientas especializadas, actualmente tampoco pueden eliminar todas las variantes. Sin embargo, existe una herramienta, creada por Merijn Bellekom de SpywareInfo.com, capaz de remover todas las versiones aquí mencionadas. También se ofrece una documentación completa para la remoción manual (en inglés). La herramienta y la mencionada documentación, pueden ser accedidas desde el siguiente enlace: The CoolWebSearch Chronicles The story of a thousand hijacks http://www.spywareinfo.com/~merijn/cwschronicles.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Hoax: Chica desaparecida (SPAM) _____________________________________________________________ http://www.vsantivirus.com/hoax-desaparecida.htm Nombre: Chica desaparecida (varios) Tipo: Supuesta cadena solidaria (SPAM) Fecha: abr/03, may/03, ago/03 Origen: Posiblemente España Este mensaje, con algunas variantes, se ha estado propagando en forma masiva, por lo menos desde abril de 2003. Primero que nada, debemos recordar que reenviar cualquier clase de mensaje en forma de cadena (a una lista larga de destinatarios), solo causa la saturación de los servidores de correo, y lo más peligroso, permite la difusión por la red de las direcciones electrónicas de los usuarios cuyas direcciones aparecen publicadas. Esto último significa ser víctimas de más correo basura (spam), además de incrementar enormemente la posibilidad de recibir mensajes con virus. Para que ello ocurra, solo basta que se infecte cualquiera de las computadoras a las que llegan estos mensajes. Pero más allá de lo expresado anteriormente, en el caso concreto de este mensaje, existen claras referencias para no creer en su contenido. Más abajo reproducimos los distintos ejemplos recibidos. Uno de los primeros está fechado el 24 de abril de 2003, y se hace referencia a "la hija de un compañero de trabajo", sin aportar más datos. Ese mensaje tiene su origen en España. Además de todo lo dicho, hay otros indicios importantes como para dudar seriamente de su veracidad: 1. No aporta datos concretos de la persona desaparecida que puedan ayudar a identificarla (más allá de las fotografías). 2. Tampoco brinda información más concreta sobre la desaparición, o sea ciudad, fecha, hora, etc. 3. No incluye ninguna información de contacto a la cuál dirigirse en caso de querer ofrecer alguna información sobre la persona desaparecida (para ello es que se supone se incluyen las fotografías). Por si todo ello no fuera suficiente para dudar de este mensaje, unos meses después de la primera versión, empezó a circular otra, en donde el texto cambia para situar geográficamente la desaparición en otro país, Argentina. También se da una fecha concreta de desaparición (2 de agosto de 2003). El mensaje original es por lo menos del 24 de abril de 2003 o anterior. Sin embargo, se conserva el nombre y las mismas fotos. La última versión, ni siquiera hace referencia a sitio en concreto, y tiene como fecha también agosto de 2003. Estos son los mensajes en el orden cronológico que los recibimos. Posiblemente existan otras variantes (hay algunas muy similares, pero con fechas diferentes que no incluimos por no aportar nada más fuera de lo ya dicho). ---- Primer ejemplo ---- Enviado el: jueves 24 de abril de 2003 12:37 Subject: RV: REENVIALO, PLEASE. ES LA HIJA DE UN CONOCIDO Hola a todos Este mail es de un amigo, por favor mirad la foto por si la habeis visto y podeis dar noticias suyas Muchas gracias Amaya y Jorge Hola a todos! Os paso este mail, porque la hija del compañero de trabajo de un buen amigo mío,ha desaparecido. Es muy serio, si lo pudierais enviar al máximo de personas posible, sería estupendo. Sé que se reciben muchos mails, que no son más que tonterías, pero este es muy serio, y la familia está desesperada. Repito, es un caso real y muy serio que nosotros conocemos. Gracias a todos y un beso Marcel Ha desaparecido de casa hace pocos días, por favor pasad la foto a todos los que conozcais. (See attached file: elena2.jpg) (See attached file: elena1.jpg) ---- Segundo ejemplo ---- Sent: Tuesday, August 12, 2003 12:49 PM Subject: Fw: CHICA DESAPARECIDA II ELENA es una chica de MENDOZA República ARGENTINA. Fue a bailar el sábado 2 de agosto y NO REGRESÓ. Hija de un rotario de Mendoza. Piden que se reenvíe. UN FAVOR DE AMIGOS ENTRE AMIGOS: PODRÍA SER LA HIJA DE UNO DE NOSOTROS, NO CUESTA NADA POR FAVOR REENVIAR CON LAS FOTOS ADJUNTAS. ---- Tercer ejemplo ---- Sent: Tuesday, August 19, 2003 1:48 PM Subject: POR FAVOR, REENVIALO es hija de amigos REENVIALO es hija de amigos PODRIA SER LA HIJA DE UNO DE NOSOTROS NO CUESTA NADA POR FAVOR REENVIAR. ELENA FUE A BAILAR EL SABADO Y TODAVIA NO REGRESO. ---- Final de los ejemplos ---- Todos los mensajes tienen anexas imágenes (generalmente como "elena1.jpg" y "elena2.jpg"), donde se muestra a la chica supuestamente desaparecida. [ver imágenes en http://www.vsantivirus.com/hoax-desaparecida.htm] Existe desde hace tiempo, una cadena similar, en inglés, con muchas similitudes con este mensaje (el hijo de un compañero de trabajo, etc.). La única acción a realizar contra la difusión masiva de este tipo de correo no solicitado (spam), es ignorarlo, borrándolo directamente, y por supuesto no reenviar dicho mensaje. Evitando la distribución de estas cadenas, se previene la saturación de servidores de correo, y se evita la propagación de direcciones electrónicas. * Regla de tres simple para NO enviar correo basura Cuando esté a punto de enviar un mensaje, hágase estas tres preguntas: 1. ¿Escribió alguien más este mensaje? 2. ¿Está enviándolo a una lista larga de personas? 3. ¿Es un chiste, advertencia de cualquier clase que le llegó por correo, llamada de atención, poesía?. ¡Si la respuesta es SI a cualquiera de ellas, NO lo envíe! * Más hoaxes Puede encontrar una lista de las falsas alarmas más comunes, en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm, o puede consultarnos a nuestra dirección e-mail: videosoft@videosoft.net.uy cuando reciba uno de estos mensajes. Otros sitios en español donde siempre podrá encontrar información debidamente investigada y comprobada: http://www.virusattack.com.ar http://www.rompecadenas.com.ar http://www.alertaantivirus.es http://www.enciclopediavirus.com En inglés: http://kumite.com/myths/myths/ http://antivirus.about.com/compute/antivirus/library/blenhoax.htm http://www.f-secure.com/hoaxes/hoax_new.shtml http://www.symantec.com/avcenter/hoax.html http://www.antivirus.com/vinfo/hoaxes/hoax.asp http://vil.nai.com/VIL/hoaxes.asp (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1144 Año 7, Lunes 25 de agosto de 2003