Mostrando mensaje 235     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1186 Año 7, Lunes 6 de octubre de 2003 Fecha: Lunes, 6 de Octubre, 2003  05:42:21 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1186 Año 7, Lunes 6 de octubre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Anatomía de otro SCAM a usuarios de eBay 2 - Falla en PostThreadMessage permite finalizar procesos 3 - Troj/Vardo.A. No deja abrir ventana del antivirus RAV _____________________________________________________________ 1 - Anatomía de otro SCAM a usuarios de eBay _____________________________________________________________ http://www.vsantivirus.com/scam-ebay2.htm Anatomía de otro SCAM a usuarios de eBay Por Jose Luis Lopez videosoft@videosoft.net.uy No es la primera vez (ni será la última), que se recurre a trucos como estos para atrapar a incautos o inexperientes usuarios de Internet. Nuevamente millones de usuarios del popular sitio de subastas en línea eBay, pueden haber sido engañados para apropiarse de la información de sus tarjetas de crédito (el sitio al que hacemos referencia más adelante, sigue activo al momento de escribir este artículo). El mensaje, enviado en forma de spam, es prácticamente idéntico a otros aparecidos anteriormente. En él, se explica que debido a actualizaciones regulares, y como verificación de las cuentas actuales, se solicita reingresar los datos personales y financieros, incluidos los de las tarjetas de crédito, en una dirección de Internet especificada en dicho mensaje. Sin embargo, el enlace lleva a una página falsa, que está construida de forma idéntica a las de eBay. Veamos algunos de los trucos que utiliza este scam. El mensaje no es un texto, sino una imagen que incluye el texto. De este modo, el autor logra camuflar el enlace que muestra en dicha imagen: https://scgi.ebay.com/saw-cgi/eBayISAPI.dll?VerifyInformation Cómo vemos, esta dirección parece ser de eBay (de hecho lo es), y además muestra ser de un sitio seguro (https:// en lugar de http://). Sin embargo, toda la imagen es un enlace a otra página. Si examinamos el código fuente del mensaje, vemos algo como esto en donde debería figurar el enlace: http://scgi.ebay.com%73%65%63%75%72%65%75%70%64% 61%74%65%79%6F%75=%72%61%63%63%6F%75%6E%74%69%64% 70%6C%65%61%73%65%65%6E%74%65%72@%32%31%31= %2E%31%37%30%2E%31%38%36%2E%31%30%34:%38%30%38%39/ %69%6E%64%65%78%2E%68%7=4%6D Lo que traducido, sería esto (la dirección se muestra cortada por ser demasiado extensa para el formato de este mensaje): http://scgi.ebay.comsecureupdateyour accountidpleaseenter@211.170.186.104:8089/index.htm Examinemos en este punto, dos hechos importantes. Primero, si ponemos el cursor sobre el enlace, el Outlook Express nos muestra la dirección real. Aconsejamos hacer esto siempre, antes de dar clic alguno sobre cualquier mensaje no solicitado que nos indique un enlace a seguir (en realidad, jamás debemos hacer clic sobre enlaces en mensajes no solicitados). En la imagen siguiente vemos como se visualiza la dirección real al pie del Outlook, al poner el puntero del mouse sobre el enlace: [ver imagen en http://www.vsantivirus.com/scam-ebay2.htm] Lo segundo que debemos tener en cuenta, es que cada vez que veamos una arroba (@) en una dirección de Internet, es muy saludable pensar que pueda existir una trampa. En las referencias que damos al final, indicamos un artículo en donde se explica esto más extensamente, pero básicamente podemos decir que esta técnica sirve para engañar al navegador, el cuál, en una solicitud normal, solo tiene en cuenta como una dirección URL válida, lo que está DESPUES de la arroba, que en el ejemplo, sería la siguiente: 211.170.186.104:8089/index.htm Cuando accedemos a esta dirección, se nos presenta una pantalla similar a las de eBay, en donde se nos solicita ingresar todos nuestros datos personales, inclusive el PIN de nuestra tarjeta: [ver imagen en http://www.vsantivirus.com/scam-ebay2.htm] La dirección IP 211.170.186.104 no tiene ningún dominio registrado (posee un servidor Web activo en el puerto 8089, en lugar del clásico 80), y pertenece a un proveedor ubicado en Corea. Al momento actual (6 de octubre de 2003), el sitio sigue activo. Resumiendo: 1. Desconfíe siempre de un mensaje como el indicado. Cerciórese antes en los sitios principales. Si bien un usuario común es difícil que sospeche de una dirección como la indicada, y mucho menos de una que contenga el nombre de la institución a la que hace referencia, toda vez que se requiera el ingreso de información confidencial, no lo haga sin estar absolutamente seguro. 2. Preste atención al hecho de que cualquier compañía responsable, le llevará a un servidor seguro para que ingrese allí sus datos, cuando estos involucran su privacidad. Una forma de corroborar esto, es observar si la dirección comienza con https: en lugar de solo http: (note la "s" al final). Un sitio con una URL https: es un sitio seguro. Pero recuerde que eso solo significa que las transferencias entre su computadora y el sitio serán encriptadas y protegidas, de ningún modo le asegura que el sitio es real. Note que el servidor seguro, no necesariamente es al que usted ingresa cuando entra a un sitio como el de un banco. Pero si debe serlo en el momento en que ese sitio lo lleve a algún formulario para ingresar datos confidenciales. SIN EMBARGO, en el scam descripto aquí, se muestra una imagen en donde figura una dirección https:// que es falsa. Por ello, compruebe SIEMPRE, si al colocar el puntero del ratón sobre esta dirección (sin hacer clic), el Outlook Express le muestra abajo la misma dirección, como vimos que no ocurre en este caso. 3. Una vez en un sitio seguro, otro indicador es la presencia de un pequeño candado amarillo en el rincón inferior a su derecha. Un doble clic sobre el mismo debe mostrarle la información del certificado de Autoridad, la que debe coincidir con el nombre de la compañía en la que usted está a punto de ingresar sus datos, además de estar vigente y ser válido. 4. Si aún cumpliéndose las dos condiciones mencionadas, duda de la veracidad del formulario, no ingrese ninguna información, y consulte de inmediato con la institución de referencia, bien vía correo electrónico (si es una dirección que siempre usó), o mejor aún en forma telefónica. De todos modos, recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente. Esta es una muestra del scam de eBay descripto en este artículo. --- Principio del scam --- De: ebay [user-support9@ebay.com] Para: [destinatario] Asunto: 0fficiaI Notice for all E-Bay users Dear eBay User, During our regular update and verification of the accounts, we couldn't verify your current information. Either your information has changed or it is incomplete. As a result, your access to bid or buy on eBay has been restricted. To start using your eBay account fully, please update and verify your information by clicking below : https://scgi.ebay.com/saw-cgi/eBayISAPI.dll?VerifyInformation Regards, eBay ** Please Do Not Reply To This E-Mail As You Will Not Receive A Response** --- Final del scam --- Aunque se trata de un caso concreto, nada impide que puedan existir estafas similares (de hecho las hay), por lo que siempre tenga en cuenta lo que aquí mencionamos para no caer en una de ellas. * Agradecimientos: A Luis Hermida, de Uruguay, por enviarnos una muestra del mensaje falso. * Relacionados: ¿@ en un URL? Algo me huele mal http://www.vsantivirus.com/gm-arroba-url.htm Scams cada vez más elaborados http://www.vsantivirus.com/ev25-09-03.htm ¡Sigue la estafa contra usuarios de BBVA Net! http://www.vsantivirus.com/scam-bbvanet2.htm Clientes de un banco engañados por SCAM con troyano http://www.vsantivirus.com/11-05-03.htm Fraudes Digitales http://www.vsantivirus.com/cu-fraudes-digitales.htm Un viejo truco de ingeniería social http://www.vsantivirus.com/mm-bbva-scam.html Alerta de SCAM con cuentas de BBVAnet http://www.vsantivirus.com/scam-bbvanet.htm ¡Cuídese del fraude!. Ser víctimas de este SCAM es fácil http://www.vsantivirus.com/scam-aol.htm SCAM: Estafa a la nigeriana http://www.vsantivirus.com/scam-nigeria.htm Otro "scam" sobre Hotmail http://www.vsantivirus.com/scam-hotmail.htm SCAM que pone en peligro las cuentas de Hotmail http://www.vsantivirus.com/scam-hotmail2.htm Cuidado con los negocios y regalos por Internet http://www.vsantivirus.com/agr-scam.htm Clientes de un banco engañados por SCAM con troyano http://www.vsantivirus.com/11-05-03.htm SCAM, SPAM, y los mercaderes de la muerte http://www.vsantivirus.com/16-09-01.htm Scam intenta engañar a usuarios de Microsoft http://www.vsantivirus.com/scam-helpdesk.htm Falso correo de Yahoo roba datos de tarjetas de crédito http://www.vsantivirus.com/scam-yahoo.htm SCAM: La estafa de "Vacaciones en Orlando" http://www.vsantivirus.com/scam-orlando.htm Dame el número de tu tarjeta y te pago las cuentas http://www.vsantivirus.com/ar-scam-paypal.htm Hoax: Falso mensaje que pide las contraseñas del MSN http://www.vsantivirus.com/scam-msn.htm Que el espíritu navideño no lo convierta en víctima http://www.vsantivirus.com/scam-ebay.htm Hoax: Usted es uno de nuestros ganadores http://www.vsantivirus.com/hoax-premio.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Falla en PostThreadMessage permite finalizar procesos _____________________________________________________________ http://www.vsantivirus.com/vul-postthread.htm Falla en PostThreadMessage permite finalizar procesos Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Una vulnerabilidad en la función API de Windows, PostThreadMessage, permite que un atacante pueda matar en forma arbitraria cualquier proceso activo en la máquina atacada. La vulnerabilidad afecta a todas las versiones de este sistema operativo, y se produce por la forma en que los procesos manejan los mensajes enviados con PostThreadMessage(), una función API (Application Program Interface), que permite el envío de mensajes entre diferentes procesos de un mismo hilo. Si un proceso en ejecución con un mensaje en espera, recibe otro mensaje bajo determinadas circunstancias, dicho proceso puede ser finalizado. Esta terminación ocurrirá sin importar la diferencia que pueda existir entre los niveles de seguridad de los distintos procesos. Tampoco importa que se requiera una contraseña para terminar un proceso, ni ninguna otra medida de protección similar. Esta vulnerabilidad se produce por un error de diseño en Windows. La función PostThreadMessage ubica un mensaje en la lista de espera de un hilo especificado, y retorna sin aguardar que se procese dicho mensaje. Pero esta función falla si el hilo no tiene un mensaje en espera aún. El sistema crea un mensaje en la lista de espera, cuando el hilo realiza su primera llamada a una función USER o GDI. Un exploit podría finalizar cualquier proceso activo correspondiente a cortafuegos, aplicaciones antivirus, o cualquier otro software crítico para el funcionamiento del sistema. No existen soluciones disponibles a este problema. * Referencias: Process Killing - Playing with PostThreadMessage http://www.securityfocus.com/archive/1/339947 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Vardo.A. No deja abrir ventana del antivirus RAV _____________________________________________________________ http://www.vsantivirus.com/vardo-a.htm Nombre: Troj/Vardo.A Tipo: Caballo de Troya Alias: Trojan.Vardo Fecha: 28/set/03 Tamaño: 10,240 bytes Plataforma: Windows 32-bit Este caballo de Troya intenta cerrar cualquier ventana que pertenezca a un proceso que se llame RAVMON.EXE. Este archivo pertenece al antivirus RAV (Reliable AntiVirus), recientemente adquirido por Microsoft. Cuando el troyano se ejecuta, se copia en la siguiente ubicación (el ejecutable puede tener cualquier nombre): c:\windows\system\[nombre del archivo] NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Agrega la siguiente entrada en el registro, para autoejecutarse en cada reinicio: HKCU\Software\Microsoft\Windows\CurrentVersion\Run yyyyyyyy = [nombre y camino del troyano] Luego, queda residente, no dejando que ninguna ventana relacionada con el archivo RAVMON.EXE pueda ser abierta. No posee rutina de propagación, pero un archivo infectado podría ser enviado en forma premeditada o accidental, por correo electrónico, o descargada de sitios maliciosos, o a través de redes P2P. * Reparación manual * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: yyyyyyyy 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1186 Año 7, Lunes 6 de octubre de 2003