Mostrando mensaje 270     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1221 Año 8, Lunes 10 de noviembre de 2003 Fecha: Lunes, 10 de Noviembre, 2003  05:37:27 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1221 Año 8, Lunes 10 de noviembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Aumentan incidencias del troyano Autoproxy 2 - El FBI dice que Microsoft no es el culpable 3 - Troj/Backdoor.Autoproxy. El atacante lo usa como proxy _____________________________________________________________ 1 - Aumentan incidencias del troyano Autoproxy _____________________________________________________________ http://www.vsantivirus.com/09-11-03.htm Aumentan incidencias del troyano Autoproxy Por Angela Ruiz angela@videosoft.net.uy Según el Unified Incident Reporting and Alert Scheme (UNIRAS), organismo británico de respuesta a incidentes de computadoras (CERT), se han reportado numerosos casos de infecciones provocadas por el troyano conocido como CoreFlood o Autoproxy, que se instala en el Internet Explorer. El troyano, se vale de la ejecución arbitraria de código reportada en el boletín de seguridad MS03-011 (Falla en Microsoft Virtual Machine), MS03-040 (Vulnerabilidad de etiquetas de objeto) y MS03-042 (Vulnerabilidad en el "Microsoft Local Troubleshooter ActiveX control"). El efecto producido, es la descarga y ejecución de archivos en la computadora infectada, incluyendo el propio troyano. La ejecución del mismo puede engañar al software usado como cortafuegos, ya que se ejecuta en la misma memoria del EXPLORER.EXE. Una de las razones de su propagación, es que puede infectar el equipo vulnerable, con solo visitar un sitio de Internet. No requiere que se haga doble clic sobre el adjunto a un mensaje electrónico, ni que se ejecute un archivo en forma predeterminada para que ello suceda. El troyano Autoproxy es sumamente flexible porque permite a un atacante usar el equipo comprometido para redireccionar sesiones TCP a un host remoto, y para descargar y ejecutar comandos en forma remota en la computadora infectada. Más información en "Troj/Backdoor.Autoproxy. El atacante lo usa como proxy", http://www.vsantivirus.com/back-autoproxy.htm Este troyano es detectado por casi todos los productos antivirales actualizados, sin embargo, los administradores aconsejan examinar el registro de su equipo (con REGEDIT), en busca de entradas como estas: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Winsock2 driver = EXPLORER.EXE xxxxxxx = c:\windows\system32\xxxxxxx.exe Donde las "xxxxxxx" son siete caracteres al azar y C:\WINDOWS es la carpeta correspondiente a Windows según la versión. Por ejemplo: ajshgsh = c:\windows\system32\ajshgsh zpodkxs = c:\winnt\system32\zpodkxs Para eliminar el troyano, se deberá sacar de memoria al mismo reiniciando en modo a prueba de fallos, y borrando las entradas mencionadas del registro. Es importante tener actualizado el sistema con los parches mencionados. * Relacionados: Troj/Backdoor.Autoproxy. El atacante lo usa como proxy http://www.vsantivirus.com/back-autoproxy.htm Alerta: Falla en Microsoft Virtual Machine (MS03-011) http://www.vsantivirus.com/vulms03-011.htm MS03-040 Actualización acumulativa para IE (828750) http://www.vsantivirus.com/vulms03-040.htm MS03-042 Ejecución de código (Tshoot.ocx) (826232) http://www.vsantivirus.com/vulms03-042.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - El FBI dice que Microsoft no es el culpable _____________________________________________________________ http://www.vsantivirus.com/ev10-11-03.htm El FBI dice que Microsoft no es el culpable de las fallas en la seguridad Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Según el FBI y el CERT, todas las quejas acerca de problemas de seguridad culpando solo a Microsoft, son palabrerías, y desvían la atención de algo que es mucho más grande. Para el FBI y el CERT (Carnegie Mellon University), las vulnerabilidades en la seguridad no son defectos de Microsoft. Según el Federal Bureau of Investigation (FBI) y el CERT (Coordination Center Software Engineering Institute de la Universidad Carnegie Mellon, de Pittsburgh, Estados Unidos), todas las quejas acerca de problemas de seguridad culpando solo a Microsoft, son palabrerías. De hecho, un informe de las dos organizaciones, resalta específicamente el hecho de que toda tecnología es inherentemente vulnerable, y simplemente culpando a Microsoft por todo, se comete el grave error de encubrir un problema mucho más grande: Microsoft no posee ni controla la infraestructura de Internet, que de por si es sumamente vulnerable y fácil de atacar. Además, el informe dice específicamente, que más del 90 por ciento de todos los ataques relacionados con Microsoft, inclusive los ocasionados por los recientes gusanos MSBlaster y SoBig, que tan mala fama han dado a la compañía, se valen de vulnerabilidades que Microsoft había solucionado mucho antes de los ataques. (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=337 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Backdoor.Autoproxy. El atacante lo usa como proxy _____________________________________________________________ http://www.vsantivirus.com/back-autoproxy.htm Nombre: Troj/Backdoor.Autoproxy Tipo: Caballo de Troya Alias: Autoproxy Trojan, Backdoor.Autoproxy, CoreFlood, Backdoor.Apdoor, Downloader-ES Fecha descripción: 10/nov/03 Plataforma: Windows 32-bit Tamaño: (varios) "Autoproxy" es identificado por algunos antivirus como "Coreflood" (o sus variantes). Sin embargo son dos troyanos diferentes, pero con código en común, probablemente por ser ambos del mismo autor. Una de las diferencias, es que "Autoproxy" no utiliza el IRC como un canal de control, y no está programado para realizar ataques de negación de servicio. El troyano le permite al atacante usar ese equipo como un Proxy, y realizar sus conexiones TCP a través del mismo, disfrazando el verdadero origen de la conexión. Se distribuye a través de páginas Web infectadas con un JavaScript hostil, insertado en una etiqueta IFRAME. El applet descarga un archivo de texto de otro sitio (generalmente README.TXT), el cuál contiene la siguiente información: SP|www.ewebsearch.net/sp.htm HP|www.ewebsearch.net/|no HomeSet|ya TYPED|ewebsearch.net TYPED|hunteros.com TYPED|sexhits.org TYPED|www.ewebsearch.net TYPED|www.hunteros.com TYPED|www.sexhits.org bookmark|60pictures.com/|60 pictures every hour bookmark|sexhits.org/|Quality Adult Top 100 bookmark|sexyteenclub.com/|Sexy Teen Club bookmark|www.ewebsearch.net/|Ultimate start page bookmark|www.hunteros.com/|World's first adult search engine bookmark|young-hardcore.net/|Youngest girls every day bookmark|young69.net/?id=bm|Youngest 69 galleries exe|http://www.clavus.net/files/lsd.exe|C:\lsd.exe scin|http://81.9.1.51/kern.cgi|WININET.DLL| La primera línea (SP), le indican al troyano la nueva página de búsqueda y la segunda (HP), la página de inicio, las que suplantarán a las anteriores en el Internet Explorer. Las líneas TYPED y BOOKMARK, se agregan al registro histórico y a los favoritos. La entrada marcada como EXE, indica el archivo a descargar de Internet que luego será ejecutado. Este suele ser un porn- dialer (discador que intenta llamar a un servicio pornográfico). La página contiene además una rutina en Visual Basic Script (VBS), que actúa como "dropper", liberando al código malicioso, un archivo llamado generalmente AP216.EXE. El sitio puede contener múltiples páginas con enlaces a través de etiquetas IFRAME a este componente. AP216.EXE, es un archivo ejecutable comprimido con la herramienta UPX, de 5,120 bytes. Para ejecutarse con solo visitar una página infectada, el troyano se vale de una de las vulnerabilidades que corrige el parche acumulativo del Internet Explorer en este enlace (21 de agosto de 2003), Vulnerabilidad de Etiquetas de Objeto: MS03-040 Actualización acumulativa para IE (828750) http://www.vsantivirus.com/vulms03-040.htm Cuando la página es cargada en un Explorer sin el parche, el script descarga y ejecuta el archivo AP216.EXE. Este a su vez, intenta descargar y ejecutar otro código binario (el Proxy propiamente dicho). Cuando esto se cumple, el archivo crea dos archivos en el disco, también con un nombre de 7 caracteres al azar. Ejemplo: c:\windows\system\xxxxxxx.exe c:\windows\system\xxxxxxx.dll Donde las "xxxxxxx" son siete caracteres al azar (por ejemplo "zpodkxs"). NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). También crea las siguientes entradas en el registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Winsock2 driver = c:\windows\explorer.exe xxxxxxx = c:\windows\system\xxxxxxx.exe Por ejemplo: ajshgsh = c:\windows\system\ajshgsh zpodkxs = c:\winnt\system32\zpodkxs Cuando se carga el Explorer, el gusano inserta el archivo .DLL creado antes, en el mismo espacio de memoria del EXPLORER.EXE, con lo que se puede saltear la protección de los cortafuegos (EXPLORER.EXE es un proceso real de Windows). El troyano depende de un servidor principal para recibir los comandos. Esta dirección está encriptada en el código del mismo, y puede ser variada con cada versión descargada. Posee un mecanismo de control muy flexible, basado en un protocolo propio que se ejecuta sobre HTTP. Esto permite al atacante tener el control completo, incluso del tiempo de ejecución de cada función realizada por el proxy. Esta es una lista de algunos de los comandos disponibles: ADMIN CLRLOG ECHO EXEC EXIT FLUSHLOG HTTP HTTPP LOCIP MESSAGES RASTEST RELAY RESTART SET SETID SOCKS UNINSTALL URL WND * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros 3. Tome nota de los nombres de los archivos detectados como infectados, y luego bórrelos (ver punto 3 de "Editar el registro"). * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la entrada que haga referencia a los nombres de los ejecutables del troyano (ver punto 3 de "Antivirus"), por ejemplo: Winsock2 driver = c:\windows\explorer.exe xxxxxxx = c:\windows\system\xxxxxxx.exe 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Instalación de parches Instale los parches que se indican a continuación: Alerta: Falla en Microsoft Virtual Machine (MS03-011) http://www.vsantivirus.com/vulms03-011.htm MS03-040 Actualización acumulativa para IE (828750) http://www.vsantivirus.com/vulms03-040.htm MS03-042 Ejecución de código (Tshoot.ocx) (826232) http://www.vsantivirus.com/vulms03-042.htm * Información adicional * Activar cortafuegos de Windows XP (Internet Conexión Firewall) NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa. Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red. 2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet". 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1221 Año 8, Lunes 10 de noviembre de 2003