Mostrando mensaje 310     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1261 Año 8, sábado 20 de diciembre de 2003 Fecha: Sabado, 20 de Diciembre, 2003  02:27:55 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1261 Año 8, sábado 20 de diciembre de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Ejecución local de archivos en Opera e IE con Flash 2 - En Argentina es legal distribuir virus 3 - W32/Beglur.A. Asunto: "For World of Peace!" 4 - Troj/Anymail.A. Envía spam desde el PC infectado _____________________________________________________________ 1 - Ejecución local de archivos en Opera e IE con Flash _____________________________________________________________ http://www.vsantivirus.com/act-flash70190.htm Ejecución local de archivos en Opera e IE con Flash Por Angela Ruiz angela@videosoft.net.uy Macromedia ha realizado una actualización para su popular software Flash Player, que permite que los usuarios que naveguen por Internet, puedan contar con una mayor seguridad a la hora de visualizar contenido Flash. Flash es una técnica creada por Macromedia, que permite dotar a los sitios Web, de una gran capacidad multimedia, en animaciones de muy poco peso, y por lo tanto de carga muy rápida. Flash Player es un pequeño reproductor que se integra, una vez descargado, con el navegador que lo soporta, dándole la posibilidad de visualizar dichos contenidos. Un reciente fallo de seguridad descubierto en el Internet Explorer y en el Opera, los dos conocidos navegadores de Internet, permiten el acceso remoto a ciertos archivos locales almacenados en las computadoras de los usuarios. Un potencial exploit (código que se aprovecha de un fallo del software), puede crear una asociación con los archivos de datos de Flash, para permitir a un usuario malicioso acceder desde Internet, a la información almacenada en el disco duro de la computadora de la víctima. La nueva versión del Flash Player, almacena los archivos de datos locales de tal manera que los mismos no pueden ser accedidos por aplicaciones maliciosas, sino solo por el propio reproductor. De este modo, las películas en Flash trabajarán correctamente con los datos almacenados en el sistema local, pero no así los programas externos, como los navegadores. Es importante destacar que el fallo que se menciona, no existe en el reproductor en si mismo, sino que se trata de un modo de actuar con la restricción de las zonas de seguridad, tanto en el Internet Explorer como en el Opera, para acceder a archivos locales. Un exploit publicado el 24 de octubre de 2003 como demostración del problema, utilizaba una película en Flash (.SWF) para crear un cookie y acceder luego al disco local. La actualización del Flash Player, impide que se pueda utilizar con éxito esta vulnerabilidad, pero correspondería a Microsoft y a Opera Software ASA solucionarlo en sus navegadores, cosa que aún no han hecho (diciembre de 2003). La nueva versión del Flash Player (7.0.19.0), puede ser descargada de los siguientes enlaces: [Nota: los enlaces aparecen truncados por superar la cantidad de caracteres permitidos en el formato de este boletín. En todos los casos se deben cortar y pegar en una sola línea] * Con identificación automática del navegador: http://www.macromedia.com/go/getflashplayer_es * Descarga manual para Internet Explorer: http://www.macromedia.com/shockwave/download/download.cgi?P1_ Prod_Version=ShockwaveFlash&P2_Platform=Win32&P3_Browser_Vers ion=MSIE&Lang=Spanish&P5_Language=Spanish * Descarga manual para Opera: http://www.macromedia.com/shockwave/download/download.cgi?P1_ Prod_Version=ShockwaveFlash&P2_Platform=Win32&P3_Browser_Vers ion=Opera&P5_Language=Spanish&Lang=Spanish * Más información: Internet Explorer and Opera local zone restriction bypass http://www.securityfocus.com/archive/1/342317 Update to Flash Player Addressing Local Shared Object Security http://www.macromedia.com/devnet/security/security_zone/mpsb03-08.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - En Argentina es legal distribuir virus _____________________________________________________________ http://www.vsantivirus.com/rzw-19-12-03.htm En Argentina es legal distribuir virus Este artículo proviene de Rynho Zeros Web http://www.rzw.com.ar Argentina, la distribución de virus legalizada por tribunal La Sala I de la Cámara Federal sobreseyó a un ex empleado de una empresa acusado de enviar virus a través del correo electrónico, pese a que se probó que su conducta le ocasionó a la empresa "pérdida de tiempo" y "perjuicios económicos", informó ayer el diario Clarín. Los jueces Horacio Vigliani y Gabriel Cavallo señalaron en su fallo que la figura de daño sólo puede verificarse cuando alguien "le destruya o inutilice" a un tercero una cosa mueble, inmueble o un animal. Por lo tanto, como una red informática no se enmarca en ninguna de esas clasificaciones, "no cae bajo ningún tipo de sanción penal". El hecho ocurrió entre mediados de 1999 y principios de 2000 en la agencia publicitaria Young & Rubicam. Un empleado de la firma, enojado por un despido que consideró injusto, envió "decenas" de correos electrónicos con virus "Mail Bomber" y "Vaninna". La justicia probó que el ex empleado, cuyo nombre no trascendió, provocó la pérdida de cientos de correos de sus ex compañeros, el trabajo adicional de los técnicos, la compra de equipos nuevos y el derrumbe del funcionamiento de las líneas telefónicas. En la Argentina, pese a que se tratan diversos proyectos, existe un vacío legal sobre este tema, ya que los delitos informáticos no existen como tales. La dirección de esta noticia es: http://www.rzw.com.ar/modules.php?name=News&file=article&sid=1151 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Beglur.A. Asunto: "For World of Peace!" _____________________________________________________________ http://www.vsantivirus.com/beglur-a.htm Nombre: W32/Beglur.A Tipo: Gusano de Internet Alias: Beglur, I-Worm.Beglur, Worm/Burl97, WORM_GLUBER.A, WORM_BURL97.A, WORM/BURL97, W32/Gluber@MM, Win32/Beglur.A Tamaño: 8,774 bytes Fecha: 19/dic/03 Plataforma: Windows 32-bit Este gusano de envío masivo, se propaga como archivo adjunto en un mensaje con formato HTML, cuyo texto menciona a Saddam Hussein y a Osama Bin Laden. El adjunto, BGLR32.EXE, es un ejecutable de 8,774 bytes comprimido con la herramienta UPX (27 Kb sin comprimir). Para ejecutarse en forma automática, con solo leer el mensaje, el gusano utiliza un exploit para aprovecharse de una conocida vulnerabilidad en el componente IFRAME (una etiqueta que abre una ventana del Explorer dentro de otra). Cuando se ejecuta, se copia a si mismo en la carpeta del sistema: c:\windows\system\bglr32.exe NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.). También modifica el archivo SYSTEM.INI o el registro para autoejecutarse en cada reinicio (según la versión de Windows que infecte). El gusano modifica la siguiente entrada del archivo C:\WINDOWS\SYSTEM.INI: [boot] shell=explorer.exe bglr32.exe Luego, permanece residente en memoria, y examina todos los archivos en la unidad C, con las siguientes extensiones, a los efectos de recolectar direcciones electrónicas: .txt .mht .htm .html .eml .jse .asp Los mensajes enviados a dichas direcciones por el gusano, muestran estas características: De: Baath <baath@iraq.com> Asunto: For World of Peace! Texto: Saddam Hussien has been captured but Osama Bin Laden still have a power and US will never captured this person until somebody captured Bush. God Bless You!! A.Q.T.E Datos adjuntos: Bglr32.exe Obtiene del registro, la información de configuración del servidor SMTP del usuario actual, para usarlo en el envío de los mensajes infectados. Si falla, intenta utilizar el siguiente servidor SMTP: smtp.hotpop.com El gusano utiliza un exploit que se aprovecha de una vulnerabilidad del Internet Explorer para manejar las etiquetas IFRAME, a los efectos de ejecutarse al ser visualizado el mensaje, en aquellos equipos que no hayan instalado los últimos parches para el Internet Explorer y Outlook Express. El mensaje contiene en su código una etiqueta IFRAME, que normalmente permite la inclusión de páginas o documentos dentro de otras páginas, ya sean del mismo dominio o no. Valiéndose de una vulnerabilidad del Internet Explorer, se logra ejecutar un script que obliga a que el navegador descargue y ejecute el archivo adjunto, superando las restricciones de seguridad que Windows impone a cualquier código cuando se usa dentro de un IFRAME. La configuración sugerida en el siguiente artículo, evita la ejecución del script que permite la explotación de esta falla: Navegando más seguros y sin molestos Pop-Ups con el IE http://www.vsantivirus.com/faq-sitios-confianza.htm Se sugiere descargar la última actualización acumulativa para el Internet Explorer, que corrige esta falla: MS03-048 Actualización acumulativa para IE (824145) http://www.vsantivirus.com/vulms03-048.htm * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre el siguiente archivo: c:\windows\system\bglr32.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Modificar SYSTEM.INI * Usuarios de Windows Me solamente: En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo SYSTEM.INI en la carpeta C:\Windows\Recent. Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre SYSTEM.INI. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos. 1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter. 2. Busque lo siguiente: [boot] shell=explorer.exe bglr32.exe y déjelo así: [boot] shell=explorer.exe 3. Grabe los cambios y salga del bloc de notas * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Anymail.A. Envía spam desde el PC infectado _____________________________________________________________ http://www.vsantivirus.com/troj-anymail-a.htm Nombre: Troj/Anymail.A Tipo: Caballo de Troya Alias: Trojan.Anymail, Trojan.Win32.Neomailer.m, Troj_AnyMail.A Fecha: 18/dic/03 Plataforma: Windows 32-bit Tamaños: 69,632 bytes, 65,536 bytes Es un troyano de correo electrónico, programado en Microsoft Visual C++, y preparado para responder ciertos comandos que se le envía en forma remota. Descarga un archivo de configuración de una dirección de Internet predefinida en su código (pueden existir varias versiones con diferentes URLs), mediante una conexión HTTP, el cuál suele tener el siguiente nombre: Config.cfg En este archivo recibe las instrucciones y los datos para el envío de correo en forma masiva: Servidor SMTP a usar Listado de direcciones a enviar El mensaje completo a enviar Intervalo de tiempo entre envíos, etc. Dicho archivo de configuración se encuentra encriptado. Guarda un registro de los envíos en un archivo también encriptado, que el troyano crea en la máquina infectada: Sended_count.cfg No realiza cambios en el registro. Aunque no posee un mecanismo de propagación, debemos considerar que el mismo podría ser enviado en forma premeditada o accidental, por correo electrónico, o descargado de sitios maliciosos, o a través de redes P2P y canales de IRC. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Deshabilitar cualquier conexión a Internet o una red Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza. * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1261 Año 8, sábado 20 de diciembre de 2003