Mostrando mensaje 25     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 976 - Año 7 - Lunes 10 de marzo de 2003 Fecha: Lunes, 10 de Marzo, 2003  11:15:51 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 976 - Año 7 - Lunes 10 de marzo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - A fondo: W32/Deloder. Se propaga por el puerto 445 2 - Denegación de servicio en Eudora 5.1 3 - Elevación de privilegios mediante Dr. Web Antivirus 4 - Expertos niegan que falle el cortafuegos de AlphaShield _____________________________________________________________ 1 - A fondo: W32/Deloder. Se propaga por el puerto 445 _____________________________________________________________ VSantivirus No. 976 - Año 7 - Lunes 10 de marzo de 2003 A fondo: W32/Deloder. Se propaga por el puerto 445 http://www.vsantivirus.com/deloder.htm Nombre: W32/Deloder Tipo: Gusano de Internet Alias: W32.HLLW.Deloder, WORM_DELODER.A, W32/Deloder-A, Deloder, W32/Deloder.worm, W32/Troj/Backdoor/Deloder, Worm.Win32.Deloder Fecha: 8/mar/03 Plataforma: Windows 2000 y XP (pero puede propagarse desde Win9x, Me) Tamaño: 745,984 bytes Symantec ha anunciado la presencia de un nuevo gusano que se vale del puerto TCP/445 para propagarse. Aunque la mayoría de los usuarios conoce los riesgos del puerto 139, usado por Windows para compartir archivos y carpetas, muchos ignoran que el puerto 445 en W2K, XP y Server 2003, permite prácticamente lo mismo que el anterior. En este caso, es usado por el SMB (Server Message Block). El gusano Delolder (de origen Chino), hace uso de una herramienta legítima, PSEXEC.EXE (de SysInternals), para modificar y ejecutar en forma remota los archivos involucrados con el gusano. También apela a un sistema de despliegue remoto (VNC), también legítimo, para sus acciones de troyano de acceso remoto. El archivo con el que se transmite es DVLDR32.EXE, el cuál está programado en Microsoft Visual C++ y comprimido con la utilidad ASPack. Cuando DVLDR32.EXE se ejecuta, el gusano extrae el archivo PSEXEC.EXE en el mismo directorio. Como dijimos, PSEXEC es una herramienta de red totalmente legal pero contiene datos binarios embebidos en su código, que son grabados en la carpeta "\\RemoteSystem\ADMIN$\System32" como PSEXESVC.EXE, el cuál es luego ejecutado, funcionando como servidor de PSEXEC.EXE, responsable de iniciar los procedimientos remotos y redireccionamientos de entrada y de salida de y hacia la máquina cliente. PSEXEC.EXE inicia a PSEXESVC.EXE pasándole argumentos en la línea de comandos (login, etc.). Sin estos argumentos, el proceso se comporta con los privilegios normales de cualquier usuario que ejecuta esta herramienta. El gusano crea luego la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run messnger = [camino donde se ejecuta el troyano]\Dvldr32.exe Para evitar múltiples instancias de si mismo en memoria, el troyano crea un único mutex llamado "testXserv", que utiliza como semáforo para indicar que ya se está ejecutando. El gusano utiliza el puerto TCP/445 (conocido por Microsoft como "DS port") para conectarse a máquinas remotas en la misma red. Realiza un escaneo en un rango de direcciones IP determinadas, buscando computadoras con este puerto abierto. Si los encuentra, intenta loguearse en estas máquinas como administrador, utilizando uno de las siguientes contraseñas: "" (solo Enter) "0" "000000" "00000000" "007" "1" "110" "111" "111111" "11111111" "12" "121212" "123" "123123" "1234" "12345" "123456" "1234567" "12345678" "123456789" "1234qwer" "123abc" "123asd" "123qwe" "2002" "2003" "2600" "54321" "654321" "88888888" "a" "aaa" "abc" "abc123" "abcd" "admin" "Admin" "admin123" "administrator" "alpha" "asdf" "computer" "database" "enable" "foobar" "god" "godblessyou" "home" "ihavenopass" "Internet" "login" "Login" "love" "mypass" "mypass123" "mypc" "mypc123" "oracle" "owner" "pass" "pass" "passwd" "password" "Password" "pat" "patrick" "pc" "pw" "pw123" "pwd" "qwer" "root" "secret" "server" "sex" "super" "sybase" "temp" "temp123" "test" "test123" "win" "xp" "xxx" "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" "yxcv" "zxcv" Si el acceso se produce satisfactoriamente, el troyano hace uso de la herramienta PSEXEC.EXE para crear una copia con el nombre de DVLDR32.EXE y los atributos de solo lectura habilitados (+R) en la máquina accedida. También crea copias con el nombre de INST.EXE en las siguientes ubicaciones: \%s\C$\WINNT\All Users\Start Menu\Programs\Startup\ \%s\C\WINDOWS\Start Menu\Programs\Startup\ \%s\C$\Documents and Settings\All Users\Start Menu\Programs\Startup\ Donde "$s" corresponde al nombre de red asignada a esa computadora. Estas carpetas, excepto una con un camino equivocado (\%s\C\), usualmente corresponden a las carpetas de inicio, de modo que el troyano se ejecutará cada vez que una de esas computadoras se reinicie. INST.EXE es el componente troyano, que a su vez libera otros archivos en el sistema, los que componen un servidor "VNC": cygwin1.dll explorer.exe omnithread_rt.dll VNCHooks.dll INST.EXE (684,652 bytes), crea además los siguientes archivos: C:\Windows\Fonts\rundll32.exe (el troyano) C:\Windows\Fonts\explorer.exe C:\Windows\Fonts\omnithread_rt.dll C:\Windows\Fonts\VNCHooks.dll C:\Windows\System\cygwin1.dll "C:\Windows" y "C:\Windows\System" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "C:\WinNT", "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). El archivo EXPLORER.EXE, es originalmente WINVNC.EXE, el nombre original del servidor VNC, una herramienta legítima de administración. Los archivos .DLL son parte normal de ese servidor. VNC (Virtual Network Computing), es un sistema legítimo (y gratuito) creado por la Universidad de Cambridge, que permite visualizar en forma remota el entorno de otra computadora conectada en red (a través de Internet, etc.), conectando entre si una gran variedad de arquitecturas diferentes. El componente "backdoor", utiliza esta aplicación para acceder y controlar en forma remota el sistema. Para impedir ser identificado, el troyano oculta el icono de la herramienta de la bandeja del sistema, cuando ésta se ejecuta. A través del uso malicioso de esta herramienta, un intruso puede tomar el control de los sistemas infectados. El archivo CYGWIN1.DLL, el un emulador UNIX (Cygwin Posix Emulation DLL), que provee de funciones de interface API de UNIX al troyano. El archivo no contiene ningún código maligno, y es una herramienta legítima, usada maliciosamente por el troyano. La configuración de la utilidad VNC se almacenan en las siguientes claves (y subclaves): HKEY_LOCAL_MACHINE\Software\ORL HKEY_CURRENT_USER\Software\ORL El troyano agrega las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema: HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\Run TaskMan = C:\Windows\Fonts\rundll32.exe HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\Run Explorer = C:\Windows\Fonts\explorer.exe También posee un componente backdoor para conectarse clandestinamente a servidores de IRC (de una lista de 13), RUNDLL32.EXE Este componente notifica al atacante que el sistema está pronto para permitir el acceso remoto, además de enviar la contraseña necesaria para conectarse al componente VNC. Para ello, genera un nickname al azar e intenta conectarse a alguno de los siguientes servidores de IRC a través del puerto 6667: cocket.bounceme.net cocket.dyn.nicolas.cx cocket.dynup.net cocket.getmyip.com cocket.gotdns.com cocket.ma.cx cocket.minidns.net cocket.mooo.com cocket.nailed.org cocket.orgdns.org cocket.phathookups.com cocket.pokemonfan.org cocket.staticcling.org El nickname es seleccionado de esta lista: boyzz coked fuck garc girli kiwi micha mike monic moon nikis penis poer radi rahim rock rosi schen serve south step titi trick turu uglyc wolf Los siguientes archivos están relacionados con el troyano: cygwin1.dll (944,968 bytes, es un archivo inocente) dvldr32.exe (745,984 bytes es el gusano) explorer.exe (212,992 bytes una aplicación VNC) inst.exe (684,562 bytes es el dropper del Backdoor) omnithread_rt.dll (57,344 bytes una aplicación VNC) psexec.exe (36,352 bytes, es una aplicación legítima para lanzar procesos en forma remota) rundll32.exe (29,336 bytes, un Backdoor de IRC) VNCHooks.dll (32,768 bytes una aplicación VNC) Sus principales características maliciosas son: - Captura información de la configuración del servidor y de las estaciones de trabajo. - Control de Acceso Remoto de los archivos y programas de los sistemas infectados. - Puede ejecutar archivos o comandos en forma remota. - Infecta y deshabilita los recursos "ocultos" compartidos de las redes. Cuando se ejecuta, el troyano deshabilita los siguientes recursos compartidos que normalmente se hayan "ocultos": admin$ ipc$ c$ d$ e$ f$ El gusano no funciona en sistemas Windows 95, 98 y Me, pero sin embargo, si puede propagarse por ellos. Un síntoma de la presencia del gusano es un aumento del tráfico por el puerto TCP/445. La gráfica (de www.dshield.org), muestra el aumento de requerimientos para el puerto 445 (en amarillo) al 10 de marzo de 2003. [ver imagen en http://www.vsantivirus.com/deloder.htm] Aunque la mayoría de las máquinas corporativas protegen este puerto con cortafuegos y políticas de conexiones permitidas que lo bloquearían, existen algunos escenarios que pueden convertirse en un gran riesgo. 1. Máquinas conectadas a accesos directos a Internet (módem, etc.) fuera del ambiente corporativo, tanto en domicilios privados como durante viajes de negocio, que luego vuelven a la red corporativa. 2. Máquinas que utilizan conexiones VPN dentro de la red corporativa, pero que no están debidamente protegidas al conectarse a una conexión directa a Internet. Pero lo más preocupante es que muchas computadoras domésticas tienen este puerto visible al mundo y son vulnerables si la cuenta local del administrador posee una contraseña débil. Este tema ya lo advertíamos en nuestro sitio en agosto de 2001 (ver http://www.vsantivirus.com/w2k-puerto445.htm). La llegada de Windows XP a un terreno en su mayoría doméstico, hizo masiva una opción que solo por casualidad los creadores de virus no habían explotado. En el transcurso de esta semana, este es quizás el tercero o cuarto gusano que se vale de estos recursos para propagarse, aunque tal vez sea hasta ahora el más elaborado. * Más sobre el puerto 445 Windows 2000 y XP, utilizan el puerto 445 para el intercambio de información entre computadoras conectadas en red a través del protocolo SMB (Server Message Block). Esta característica permite además el intercambio de archivos. En Windows NT, esto corría sobre NBT (NetBIOS sobre TCP/IP), utilizando los ya conocidos puertos 137, 138 (UDP) y 139 (TCP). En Windows 2000, Microsoft agrega la posibilidad de ejecutar el protocolo SMB directamente sobre TCP/IP (sin NetBIOS), eliminando toda la capa extra del NBT. Para ello es que utiliza el puerto TCP/445. Según Microsoft, las ventajas de esto es que se simplifica el tráfico SMB, la eliminación de WINS y NetBIOS simplificando la resolución de nombres, estandarización de esto último mediante DNS también para compartir archivos e impresoras, etc. Si ambos sistemas están activos (puerto 445 y NBT), Windows prueba ambos métodos al mismo tiempo y utiliza el primero que responda. Esto permite que funcione adecuadamente aún en sistemas que no soportan tráfico vía SMB directo por el puerto 445. Sin embargo, se han reportado vulnerabilidades en el puerto 445 que permiten el acceso remoto a la computadora involucrada. Esto se debe a que Windows 2000 abre este puerto por defecto para permitir el intercambio de archivos con sistemas remotos. Por este método, las entradas pueden realizarse sin impedimentos por autenticación, especialmente en aquellas computadoras que no utilizan contraseña (solo Enter), o con contraseñas débiles para acceder a la cuenta administrativa de esa PC. El problema (confirmado por el propio Microsoft), es que Windows 2000 no requiere que el administrador ingrese una contraseña cuando se instala el software. Esto es lo que hace a la vulnerabilidad mucho más extendida. Windows XP hereda el uso del puerto 445. Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Reparación manual Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos: 1. Detenga el proceso del virus en memoria: a. en Windows 9x y Me, pulse CTRL+ALT+SUPR. b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC. 2. En ambos casos, en la lista de tareas, señale la siguiente: Dvldr32.exe 3. Seleccione el botón de finalizar tarea. En Windows NT/2000 o XP, deberá seleccionar esta última opción en la lengüeta Procesos. 4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 6. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas (no todas ellas pueden aparecer): messnger TaskMan Explorer 7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \ORL 8. Pinche en la carpeta "ORL" y bórrela. 9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \ORL 10. Pinche en la carpeta "ORL" y bórrela. 11. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Borrar los archivos creados por el gusano. En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: DVLDR32.EXE; INST.EXE 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione Todos los archivos y carpetas 3. En "Todo o parte del nombre" ingrese (o corte y pegue), lo siguiente: DVLDR32.EXE; INST.EXE 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Pinche en "Opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". 11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm * Relacionados: Win 2000 y el puerto 445, una invitación a los intrusos http://www.vsantivirus.com/w2k-puerto445.htm W32/Randon. Se aprovecha del puerto 445 para propagarse http://www.vsantivirus.com/randon.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Denegación de servicio en Eudora 5.1 _____________________________________________________________ http://www.vsantivirus.com/vul-eudora-adjuntos.htm Denegación de servicio en Eudora 5.1 Por David Fernández Madrid idoru@videosoft.net.uy Asunto: Denegación de servicio en Eudora 5.1 Versiones afectadas: 5.1 y más antiguas Versiones inmunes: 5.2 Descripción: Eudora es un cliente de correo distribuido y producido por QUALCOMM. Se ha descubierto un fallo en su código que permite cerrar Eudora con una violación de acceso mediante la recepción de uno o varios e-mails con un fichero adjunto con un nombre excepcionalmente largo. No se sobrescribe el puntero de instrucción EIP, por lo que no se puede ejecutar código , pero el / los mensajes corromperán la bandeja de entrada provocando una violación de acceso cada vez que se abra Eudora. El script que se adjunta permite crear un archivo que mandado una o varias veces a un cliente Eudora provocará el fallo. $ set a=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAA $ echo "exploit" >! $a.txt ------=_20030309225140_10193 Content-Type: text/plain; name="drweb.txt" Content-Disposition: attachment; filename="drweb.txt" Solución sugerida: Actualizar el software a la versión 5.2 o superior. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Elevación de privilegios mediante Dr. Web Antivirus _____________________________________________________________ http://www.vsantivirus.com/vul-drweb-bufer.htm Elevación de privilegios mediante Dr. Web Antivirus Por David Fernández Madrid idoru@videosoft.net.uy Asunto: Elevación de privilegios mediante Dr. Web Antivirus Versiones afectadas: 4.28 y más antiguas Versiones inmunes: 4.29b Descripción: Dr. Web es un rápido y eficiente producto antivirus que consta de dos módulos, monitor y escáner. Se ha descubierto una vulnerabilidad al menos en el módulos escáner que podría hacer que un usuario con permiso de escritura en el disco duro pudiera ejecutar código con permisos de administrador. El módulo monitor no es proporcionado con la versión demo por lo que no fue probado pero podría estar igualmente afectado. En concreto el fallo es un desbordamiento de buffer que se produce al procesar una ruta hasta una carpeta o archivo extremadamente larga. Al intentar escanear una ruta de este tipo, Dr.Web se cierra con una violación de acceso. El puntero de instrucción EIP es sobrescrito por la ruta hasta el archivo, haciendo esto posible ejecutar código. A continuación se adjunta un script que al ejecutarlo crea la estructura de directorios que provocará el fallo en Dr. Web al escanearla. SET A = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA SET B = BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB mkdir \\?\c:\%A% mkdir \\?\c:\%A%\%B% Solución sugerida: Actualizar el software a la versión 4.29b o superior Nota VSA: Esta forma de crear los directorios no funciona en todos los sistemas (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Expertos niegan que falle el cortafuegos de AlphaShield _____________________________________________________________ http://www.vsantivirus.com/10-03-03.htm Expertos niegan que falle el cortafuegos de AlphaShield Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Tomado de Europa Press y otras fuentes El pasado 28 de febrero nos hacíamos eco de una noticia respecto a graves fallos en un conocido cortafuegos (ver: "Detectan graves fallos en un cortafuegos 'inhackeable'", http://www.vsantivirus.com/mm-alphashield.htm). Sin embargo, según informan agencias como Europa Press, reconocidos expertos internacionales rechazan que se hayan advertido esos fallos. AlphaShield es un conocido cortafuegos para líneas de ADSL, ampliamente utilizado, sobre todo en Europa. Por otra parte, estos expertos critican la prueba realizada por los dos analistas informáticos de Barcelona, a la que hacíamos referencia en el artículo anterior (VSAntivirus 966). Dicha prueba ha sido publicada en distintas Webs además de la nuestra. Gary Ramah, ingeniero de Tazmen Technologies, critica que el procedimiento para testear el cortafuegos, anunciado como inhackeable, por parte de los dos analistas fue irregular. "Lo que estas personas hicieron fue trucar paquetes desde el servidor al que le habían solicitado información por que rellenaron la mesa de conversación con la dirección de un servidor". Salvo el caso citado, todos los tests publicados sobre el producto avalan su eficacia. Según fuentes de la compañía, es como si para probar una alarma contra robos en un domicilio, primero se entra en la casa, se manipula la alarma, y luego se realiza la prueba. AlphaShield es un cortafuegos que se instala entre el router o módem del usuario y el ordenador creando una protección que impide la conexión remota desde cualquier sistema no autorizado. Tiene distintos niveles de protección que se activan en función de los datos que el aparato recibe desde Internet o el PC. Bob Schwabach, analista de productos en distintos medios, señala que ante los tradicionales sistemas de defensa basados en software, se ha introducido la barrera del hardware. "AlphaShield es justamente este tipo de dispositivo". El primer dispositivo del mundo de protección total de la privacidad en Internet, sin software, configuración ni mantenimiento. Su primera línea de defensa es que cuando no se está traficando con datos, desconecta, sin perjudicar la velocidad en la reanudación de la tarea. Otra herramienta es la ocultación de la dirección en Internet que identifica al ordenador y permite navegar sin ser visto. Y una tercera, es el análisis de todos los paquetes de entrada y salida, autorizando sólo lo solicitado directamente por el usuario y rechazando incluso cualquier solicitud de salida de un troyano o virus similar que hubiese podido entrar vía mail. Varios tests de conocidas revistas técnicas han puntuado con notable alto el producto. A propósito de la prueba realizada por los dos analistas barceloneses, la compañía tiene colgada en su Web una respuesta en la que insiste en que el producto hace lo que la ingeniería del mismo ha diseñado como su utilidad, prevenir ataques desde el exterior del ordenador protegido. Según el citado texto, del informe de los dos analistas se desprende que el test empezó solicitando datos desde el propio ordenador protegido. Al ser el ordenador protegido el que pide los datos, el sistema permite la respuesta. AlphaShield monitoriza la información no solicitada o no deseada, pero no la pedida por la máquina. El test barcelonés ha sido publicado en infohacking.com y reproducido en distintas Webs internacionales como el independiente The Register o Bugtraq de Securityfocus, empresa adquirida por la compañía de antivirus Symantec. En el test realizado por Brad Lwaryk, con un nueve de calificación, el único problema reseñable fue que no se pueden hacer chats de voz o audio mientras se utiliza y debe desconectarse. Aunque el precio le pareció inicialmente elevado, tras evaluar la protección que ofrece y los costes de pérdida o filtración de información, concluyó en su trabajo que se trataba de una unidad muy recomendable. AlphaShield anunció en 2001 un concurso para probar la seguridad de su sistema que no llegó a celebrarse en aquella fecha, pero que no descarta convocar. En el artículo de Mercè Molist que publicamos en VSA 966, los expertos barceloneses que realizaron la prueba, critican además su precio ("Es un timo: lo venden a unas diez veces por encima del precio de coste"), y la veracidad del concurso mencionado. * Relacionados: Detectan graves fallos en un cortafuegos "inhackeable" http://www.vsantivirus.com/mm-alphashield.htm Saafnet AlphaShield Connection Tracking Weakness (bugtraq id 6637 ) http://www.infohacking.com/INFOHACKING_RESEARCH/Our_Advisories/AlphaShield.htm Alphashield Guarantees 100% Unhackable Security or your Money Back http://www.alphashield.com/guarantee100.htm Vulnerability claim against AlphaShield is false http://www.alphashield.com/news/AlphaShield_Hack_Claim_False.pdf (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 976 - Año 7 - Lunes 10 de marzo de 2003