Mostrando mensaje 246     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1197 Año 7, Viernes 17 de octubre de 2003 Fecha: Viernes, 17 de Octubre, 2003  06:41:42 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1197 Año 7, Viernes 17 de octubre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - MS03-043 Ejecución de código con el Mensajero (828035) 1 - MS03-044 Falla en Centro de ayuda de Windows (825119) 1 - MS03-045 Falla en "ListBox" y "ComboBox" (824141) 1 - W32/Donk.E. Gusano que usa la vulnerabilidad RPC/DCOM _____________________________________________________________ 1 - MS03-043 Ejecución de código con el Mensajero (828035) _____________________________________________________________ http://www.vsantivirus.com/vulms03-043.htm MS03-043 Ejecución de código con el Mensajero (828035) Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Desbordamiento de búfer en el servicio del Mensajero (Messenger), puede permitir la ejecución remota de código. * Nivel de Gravedad: Critica * Programas Afectados: Microsoft Windows NT Workstation 4.0, Service Pack 6a Microsoft Windows NT Server 4.0, Service Pack 6a Microsoft Windows NT Server 4.0, Terminal Server Edition, SP6 Microsoft Windows 2000, Service Pack 2 Microsoft Windows 2000, Service Pack 3, Service Pack 4 Microsoft Windows XP Gold, Service Pack 1 Microsoft Windows XP 64-bit Edition Microsoft Windows XP 64-bit Edition Version 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 64-bit Edition * Programa No Afectado: Microsoft Windows Millennium Edition Messenger Service (o Mensajero), es un servicio que permite mostrar una ventana (del tipo pop-up), con algún tipo de mensaje, por ejemplo de alerta, originalmente pensado para la comunicación y anuncios entre usuarios de una red y administradores del sistema. Existe una vulnerabilidad en el servicio Mensajero (Messenger), que puede permitir la ejecución arbitraria de código en el sistema afectado. La falla ocurre porque el Messenger Service no valida correctamente el largo de un mensaje antes de enviarlo a su búfer. Un atacante que explote satisfactoriamente esta falla, podría ejecutar código en el sistema local, con los privilegios del usuario involucrado, o causar que falle dicho servicio. El atacante podría tomar cualquier acción en el sistema, incluyendo la instalación de programas, visualizar archivos, cambiar o borrar datos, o crear nuevas cuentas con todos los privilegios. Algunas condiciones pueden mitigar esta vulnerabilidad. Los mensajes son enviados a través del servicio Messenger ("Mensajero" en la lista de procesos de Windows XP), vía NetBIOS o RPC. Si el usuario bloquea los puertos NetBIOS (137-139), y los paquetes UDP, utilizando un cortafuegos, otros usuarios no podrán enviar mensajes a través de dichos puertos. La mayoría de los cortafuegos, incluyendo el de Windows XP, bloquean NetBIOS por defecto. Deshabilitar el servicio, también previene la posibilidad de un ataque. En Windows Server 2003, este servicio está deshabilitado por defecto, no así en Windows NT, 2000 y XP (ver "El nuevo SPAM ya es un gran negocio", http://www.vsantivirus.com/spam-mensajeria.htm). * Rating de Severidad: Windows NT: Crítico Windows Server NT 4.0 Terminal Server Edition: Crítico Windows 2000: Crítico Windows XP: Crítico Windows Server 2003: Moderado El parche puede descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Windows NT Workstation 4.0: KB828035 - Español http://www.microsoft.com/downloads/details.aspx?FamilyId=7597 FCF4-6615-4074-9E46-A17D808ED38D&displaylang=es Microsoft Windows NT Server 4.0: KB828035 - Español http://www.microsoft.com/downloads/details.aspx?FamilyId=B194 9456-996A-485A-9A28-79FD79F26A1B&displaylang=es Microsoft Windows NT Server Terminal Server Edition: KB828035 - Español http://www.microsoft.com/downloads/details.aspx?FamilyId=64AB 4B66-1A6E-4264-93A8-26CDB98B05A8&displaylang=es Microsoft Windows 2000 Service Pack 2: KB828035 - Español http://www.microsoft.com/downloads/details.aspx?FamilyId=A006 1377-1683-4C13-9527-5534F6C7CF85&displaylang=es Microsoft Windows 2000, Service Pack 3, Service Pack 4: KB828035 - Español http://www.microsoft.com/downloads/details.aspx?FamilyId=99F1 B40D-906A-4945-A021-4B494CCCBDE0&displaylang=es Microsoft Windows XP Gold, Service Pack 1: KB828035 - Español http://www.microsoft.com/downloads/details.aspx?FamilyId=F02D A309-4B0A-4438-A0B9-5B67414C3833&displaylang=es Microsoft Windows XP 64-bit Edition: KB828035 - Inglés http://www.microsoft.com/downloads/details.aspx?FamilyId=2BE9 5254-4C65-4CA5-80A5-55FDF5AA2296&displaylang=en Microsoft Windows Server 2003 64-bit Edition: KB828035 - Inglés http://www.microsoft.com/downloads/details.aspx?FamilyId=8B99 0946-84C8-4C91-899C-5A44EC13174E&displaylang=en Microsoft Windows Server 2003: KB828035 - Español http://www.microsoft.com/downloads/details.aspx?FamilyId=1DF1 06F3-7EC4-4EB0-9143-C1E3C9E2F5F8&displaylang=es Microsoft Windows Server 2003 64-bit Edition: KB828035 - Inglés http://www.microsoft.com/downloads/details.aspx?FamilyId=8B99 0946-84C8-4C91-899C-5A44EC13174E&displaylang=en * Nota: Antes de instalar este parche por favor verifique que los sistemas operativos que se mencionan tengan instalados los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o llevarse a cabo de manera incorrecta. * Más información: Microsoft Security Bulletin MS03-043 http://www.microsoft.com/technet/security/bulletin/MS03-043.asp http://www.microsoft.com/security/security_bulletins/ms03-043.asp Microsoft Knowledge Base Article - 828035 http://support.microsoft.com/?kbid=828035 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 1 - MS03-044 Falla en Centro de ayuda de Windows (825119) _____________________________________________________________ http://www.vsantivirus.com/vulms03-044.htm MS03-044 Falla en Centro de ayuda de Windows (825119) Por Lissette Zapata liszapata@videosoft.net.uy Un desbordamiento de búfer en el Centro de ayuda y Soporte técnico de Windows, compromete la seguridad de todo el sistema. * Nivel de Gravedad: Critica * Programas Afectados: Microsoft Windows Millennium Edition Microsoft Windows NT Workstation 4.0, Service Pack 6a Microsoft Windows NT Server 4.0, Service Pack 6a Microsoft Windows NT Server 4.0, Terminal Server Edition, Service Pack 6 Microsoft Windows 2000, Service Pack 2 Microsoft Windows 2000, Service Pack 3, Service Pack 4 Microsoft Windows XP Gold, Service Pack 1 Microsoft Windows XP 64-bit Edition Microsoft Windows XP 64-bit Edition Version 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 64-bit Edition Una vulnerabilidad en los protocolos HCP (Help and Support Center), existente en el componente Centro de ayuda y Soporte técnico de Windows que funciona con Windows XP y Windows Server 2003, provoca un desbordamiento de búfer. El código afectado también es incluido en todos las otras versiones de Windows, aunque ningún tipo de ataque conocido ha sido identificado a este momento, principalmente porque el protocolo HCP no se encuentra activo en dichas plataformas. La falla ocurre porque un archivo asociado con dicho protocolo, no verifica el espacio asignado a un determinado búfer. Un atacante podría aprovecharse de esta vulnerabilidad construyendo una URL maliciosa, de modo que cada usuario que pincha en ese enlace, podría ejecutar código de su elección y comprometer la seguridad de la computadora. El URL puede residir en una página web, o ser enviado a través del correo electrónico. El atacante podría tener la habilidad para leer o enviar archivos presentes en la máquina local. El riesgo de un ataque a través de un correo electrónico con formato HTML, puede reducirse significativamente si se reúnen las condiciones siguientes: º Si se ha aplicado el parche incluido con el boletín MS03- 040 º Si se está usando Internet Explorer 6 o con el SP1 º Si está usando el Microsoft Outlook con la actualización de seguridad del correo electrónico, Microsoft Outlook Express 6.0 o superior, o Microsoft Outlook 2000 o superior, en su configuración predefinida. Los factores que mitigan esta vulnerabilidad son: º El Centro de ayuda y Soporte técnico de Windows no puede iniciarse automáticamente si el usuario está usando el Outlook, u Outlook Express con el Internet Explorer 6 SP1 º El atacante tendría que diseñar un sitio web que contenga la vulnerabilidad y persuadir al usuario a visitar dicho sitio. * Rating de Severidad: Windows Millennium Edition: Bajo Windows NT Server 4.0: Bajo Windows NT Server 4.0, Terminal Server Edition: Bajo Windows 2000: Bajo Windows XP: Critica Windows Server 2003: Critica El parche puede descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Windows Millennium Edition (todos los idiomas) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=7D6F4228-0E31-4F46-9795-5CDD566BB3B8 Microsoft Windows NT Workstation 4.0, Service Pack (todos los idiomas) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=88BCDC9A-E370-47D8-B818-4E659C7F95AE Microsoft Windows NT Server 4.0, Service Pack 6a (todos los idiomas) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=735602AC-BA6E-40D4-8A20-3441F02A25CB Microsoft Windows NT Server 4.0, Terminal Server Edition, Service Pack 6 (5 idiomas: ingles, francés, alemán, japonés y Español) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=5C16FFAB-9CE7-4444-9AA5-BC6ABE3FD479 Microsoft Windows 2000, Service Pack 2 - (todos los idiomas) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=62B23A0C-67F0-4F11-A95E-E4FB080A63C6 Microsoft Windows 2000, Service Pack 3, Service Pack 4 (todos los idiomas) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=C2AB63FD-35CA-4D33-9F8C-8BF5DE2D1117 Microsoft Windows XP Gold, Service Pack 1 (todos los idiomas) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=84317458-0BEB-4B2C-A095-66CA09DFDAC6 Microsoft Windows XP 64-bit Edition (4 idiomas: ingles, francés, alemán y japonés) http://www.microsoft.com/downloads/details.aspx?FamilyId=97F4 868A-5E41-4657-B9FC-7EA13954B982&displaylang=en Microsoft Windows XP 64-bit Edition Version 2003 (4 idiomas: ingles, francés, alemán y japonés) http://www.microsoft.com/downloads/details.aspx?FamilyId=8B99 0946-84C8-4C91-899C-5A44EC13174E&displaylang=en Microsoft Windows Server 2003 (todos los idiomas) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=40F25862-A815-4674-9175-E3640E3EFD49 Microsoft Windows Server 2003 64-bit Edition (4 idiomas: ingles, francés, alemán y japonés) http://www.microsoft.com/downloads/details.aspx?FamilyId=8B99 0946-84C8-4C91-899C-5A44EC13174E&displaylang=en * Nota: Antes de instalar este parche por favor verifique que los sistemas operativos que se mencionan tengan instalados los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o llevarse a cabo de manera incorrecta. * Más información: Microsoft Security Bulletin MS03-044 http://www.microsoft.com/technet/security/bulletin/MS03-044.asp http://www.microsoft.com/security/security_bulletins/ms03-044.asp Microsoft Knowledge Base Article - 825119 http://support.microsoft.com/?kbid=825119 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 1 - MS03-045 Falla en "ListBox" y "ComboBox" (824141) _____________________________________________________________ http://www.vsantivirus.com/vulms03-045.htm MS03-045 Falla en "ListBox" y "ComboBox" (824141) Por Lissette Zapata liszapata@videosoft.net.uy Desbordamiento de búfer en controles "ListBox" y "ComboBox", pueden permitir la ejecución de código. * Programas afectados: Microsoft Windows NT Workstation 4.0, Service Pack 6a Microsoft Windows NT Server 4.0, Service Pack 6a Microsoft Windows NT Server 4.0, Terminal Server Edition, SP6 Microsoft Windows 2000, Service Pack 2 Microsoft Windows 2000 Service Pack 3, Service Pack 4 Microsoft Windows XP Gold, Service Pack 1 Microsoft Windows XP 64 bit Edition Microsoft Windows XP 64 bit Edition Version 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 64 bit Edition * Programa No afectado: Microsoft Windows Millennium Edition La vulnerabilidad existente se debe a que los controles "ListBox" y "ComboBox", recurren a una función determinada, localizada en el archivo USER32.DLL, el cuál posee un búfer no chequeado que puede ser desbordado. La función no verifica correctamente los parámetros que se puedan enviar desde un mensaje maliciosamente modificado de Windows. Los mensajes de Windows permiten que los procesos interactivos reaccionen con los procesos del usuario (por ejemplo, pulsaciones de teclas o movimientos del ratón), además de comunicarse con otros procesos interactivos. La falla se produce porque la función que proporciona al usuario un listado de opciones de accesibilidad, no valida los mensajes que Windows envía de manera correcta. Un proceso en el escritorio interactivo, podría utilizar un mensaje específico de Windows para hacer que los controles "ListBox" o "ComboBox", ejecuten un código arbitrario y por lo tanto cualquier programa que requiera de dichos controles podría ejecutar su código en un nivel elevado de credenciales administrativas, siempre que el programa ya esté ejecutándose a un nivel elevado de privilegios (por ejemplo, Utility Manager en Windows 2000). Esto podría incluir numerosas aplicaciones de terceros. El atacante debería ingresar en forma interactiva a un sistema, para ejecutar un programa que pudiera enviar un mensaje especial, y que requiera de los controles "ListBox" o "ComboBox". De ese modo, podría hacer que la aplicación seleccionada tome cualquier acción que el pirata especifique. Esto podría llegar a darle al atacante, el mando completo sobre el sistema. * Factores mitigantes: º Un atacante debe tener un acceso válido al sistema para aprovecharse de esta vulnerabilidad. La falla no puede explotarse remotamente. º Los sistemas mencionados en esta vulnerabilidad poseen un riesgo muy bajo si se siguen las prácticas de seguridad normales que se recomiendan para permitir a los usuarios autorizados a ingresar en forma interactiva a los sistemas relacionados. º WINDOWS NT 4.0, Windows 2000, Windows XP, y Windows Servidor 2003 son afectados por ésta vulnerabilidad en los controles "ListBox" y "ComboBox. Sin embargo, en Windows XP y en Windows Servidor 2003, Utility Manager se ejecuta bajo el contexto del usuario que ha ingresado y no permite elevación de privilegios. WINDOWS NT 4.0 no tiene implementado el Utility Manager. * Rating de Severidad: Microsoft Windows NT 4.0: Baja Microsoft Windows NT Server 4.0, Terminal Server Edition: Baja Microsoft Windows 2000: Importante Microsoft Windows XP: Baja Microsoft Windows Server 2003: Baja El parche puede descargarse de los siguientes enlaces: [Nota: los enlaces aparecen cortados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] Microsoft Windows NT Workstation 4.0, Service Pack 6a (todos los idiomas) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=5EA88ABE-8D53-4E25-959C-E80EB5FD7A91 Microsoft Windows NT Server 4.0, Service Pack 6a (todos los idiomas) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=F3E87075-AAE5-49F4-9D37-24A116296188 Microsoft Windows NT Server 4.0, Terminal Server Edition, Service Pack 6 (5 idiomas: ingles, francés, alemán, japonés y Español) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=0ADC8D90-2355-49A0-976B-57281B4521C1 Microsoft Windows 2000, Service Pack 2 (todos los idiomas) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=01358EAC-F1C5-4CB7-BE3D-64459F4AD3FD Microsoft Windows 2000 Service Pack 3, (todos los idiomas) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=379F234D-CE7E-4897-8D29-0764997F1E42 Microsoft Windows XP Gold, Service Pack 1 (todos los idiomas) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=ABC764AC-5B7B-4B99-BF3E-F57352E4C507 Microsoft Windows XP 64 bit Edition (4 idiomas: ingles, francés, alemán y japonés) http://www.microsoft.com/downloads/details.aspx?FamilyId=3E7B 03BF-2231-4069-B76F-0BD69CF6E1D9&displaylang=en Microsoft Windows XP 64 bit Edition Version 2003 (4 idiomas: ingles, francés, alemán y japonés) http://www.microsoft.com/downloads/details.aspx?FamilyId=E4BD 7C05-EA0E-49C7-9BDD-ABB496CA87CA&displaylang=en Microsoft Windows Server 2003 (todos los idiomas) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=02F97DE4-29DF-4D33-A33B-E7630349E69E Microsoft Windows Server 2003 64 bit Edition (4 idiomas: ingles, francés, alemán y japonés) http://www.microsoft.com/downloads/details.aspx?FamilyId=E4BD 7C05-EA0E-49C7-9BDD-ABB496CA87CA&displaylang=en * Nota: Antes de instalar este parche por favor verifique que los sistemas operativos que se mencionan tengan instalados los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o llevarse a cabo de manera incorrecta. * Más información: Microsoft Security Bulletin MS03-045 http://www.microsoft.com/technet/security/bulletin/MS03-045.asp http://www.microsoft.com/security/security_bulletins/ms03-045.asp Microsoft Knowledge Base Article - 824141 http://support.microsoft.com/?kbid=824141 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 1 - W32/Donk.E. Gusano que usa la vulnerabilidad RPC/DCOM _____________________________________________________________ http://www.vsantivirus.com/donk-e.htm Nombre: W32/Donk.E Tipo: Gusano de Internet Alias: Donk, W32/Donk-E, W32/Sdbot.worm, W32.HLLW.Donk.B, BKDR_SDBOT.Y Fecha: 16/oct/03 Plataforma: Windows 32-bit Reportado por: Sophos Este gusano, escrito en Microsoft Visual C++ y encriptado con PE-Shield y WinKript, intenta conectarse a servidores de IRC predeterminados en su código, para recibir instrucciones de un usuario remoto. Cuando se ejecuta, se copia en las siguientes ubicaciones: c:\windows\system\cool.exe c:\windows\system\netapi32.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). Agrega las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Microsoft System Checkup = netapi32.exe NT Logging Service = syslog32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Microsoft System Checkup = netapi32.exe El gusano explota la vulnerabilidad RPC/DCOM para enviar datos al puerto TCP/135, e intentar conectarse a otras computadoras con recursos administrativos compartidos, probando la siguiente combinación de nombres de usuario y contraseñas: Usuario: admin Administrator Guest Root Contraseñas: 123 aaa abc Admin admin123 administrator akim aloha anderson andrech andy antonio blue chris christian cipriani colin computer cruise database dick eddy fred gabriel garcia goodman home jack jackie jesus joe john kitty koniec leonte locke login louie machintosh mario max mikae mike mitza niteman ortega password petrovic pit provolone qwerty red root scott sebah secret server smith steven temp test tom will william willson win wintzy xavier xxx Si la conexión se establece, el gusano se copia a si mismo en las siguientes carpetas y se ejecuta: winnt\profiles\all users\start menu\programs\startup windows\start menu\programs\startup documents and settings\all users\start menu\programs\startup También se conecta a un servidor de IRC específico, uniéndose a un canal predeterminado, para recibir las instrucciones de un usuario remoto, quien podrá realizar acciones como inundar de información basura un determinado host (flooding), o descargar y ejecutar archivos. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores. Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora. En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras. Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el troyano. * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Microsoft System Checkup NT Logging Service 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices 4. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: Microsoft System Checkup 5. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Vulnerabilidad en RPC (Remote Procedure Call) Este gusano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP. Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC). Descargue y ejecute el parche correspondiente desde el siguiente enlace: MS03-039 Ejecución de código en servicio RPCSS (824146) http://www.vsantivirus.com/vulms03-039.htm * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1197 Año 7, Viernes 17 de octubre de 2003