| Asunto: | VSantivirus No. 1255 Año 8, Domingo 14 de diciembre de 2003 | | Fecha: | Domingo, 14 de Diciembre, 2003 02:05:38 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1255 Año 8, Domingo 14 de diciembre de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Diálogo de descarga del Opera, permite borrar archivos
2 - Troj/Regate.A. Convierte su PC en máquina de SPAM
3 - Troj/DoS.MSNFlooder.A. Inunda de mensajes IM
_____________________________________________________________
1 - Diálogo de descarga del Opera, permite borrar archivos
_____________________________________________________________
http://www.vsantivirus.com/vul-opera-traversal.htm
Diálogo de descarga del Opera, permite borrar archivos
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
[Publicado con autorización de Enciclopedia Virus]
Diálogo de descarga del Opera, permite borrado arbitrario de
archivos
Una vulnerabilidad ha sido reportada en el navegador Opera,
que puede permitir a un usuario remoto el borrado arbitrario
de archivos en determinadas circunstancias.
Cuando el navegador muestra el diálogo de descarga de
archivos, Opera crea uno de tamaño cero en el directorio
temporal de Windows, basado en el nombre del archivo a
descargar. El navegador no valida el nombre del mismo, y por
lo tanto, podría contener caracteres para explotar una
vulnerabilidad del tipo "Directory Traversal", y provocar la
sobrescritura y el borrado de archivos del sistema.
La vulnerabilidad conocida como "Directory Traversal
Vulnerability", ocurre cuando se especifica un nombre de
archivo con la secuencia de caracteres "..\" o "..%5C", lo
que puede permitir el acceso a directorios superiores,
diferentes a los asignados dentro del entorno controlado por
la aplicación.
En el caso del Opera, este fallo se produce cuando el usuario
accede a un URL y se abre el cuadro de diálogo de descarga,
aún cuando no se acepte descargar nada. De todos modos, solo
los archivos en los que el usuario tenga permiso de escritura
podrán ser borrados.
Una demostración "en línea", que borra la calculadora de
Windows (c:\windows\calc.exe), ha sido proporcionada por el
descubridor del error.
El vendedor fue advertido, y la última versión del Opera (en
inglés), 7.23 build 3227, corrige el problema.
Son vulnerables todas las versiones 7.x anteriores (y
posiblemente otras), bajo cualquier sistema operativo
Windows.
* Enlaces:
www.opera.com
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en
VSAntivirus.com con la respectiva autorización. Los derechos
de republicación para su uso en otro medio, deberán
solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=355
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Troj/Regate.A. Convierte su PC en máquina de SPAM
_____________________________________________________________
http://www.vsantivirus.com/troj-regate-a.htm
Nombre: Troj/Regate.A
Tipo: Caballo de Troya (Proxie)
Alias: Proxy-Regate, Syscpy
Fecha: 28/oct/03
Tamaño: 102,400 bytes (variable)
Plataforma: Windows 32-bit
Se trata de un troyano, que actúa como servidor proxy en la
máquina infectada, haciendo la función de un "spam relay"
(relanzador de spam).
De este modo, la computadora de la víctima se convierte en un
generador de spam, con las consecuencias que de ello derivan
(bloqueo de su dirección IP o la de su proveedor, ingreso a
listas negras, etc.)
El troyano abre dos puertos IP al azar, y envía una
notificación de su presencia al autor.
Cuando se ejecuta, se copia en la siguiente ubicación:
c:\windows\system32\syscpy.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al
sistema operativo instalado (con ese nombre por defecto en
Windows XP y Windows Server 2003, como "c:\winnt\system32" en
Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Crea la siguiente entrada en el registro para autoejecutarse
en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Syscpy = c:\windows\system32\syscpy.exe
El troyano establece contacto con los siguientes dos sitios
anti-spam, para verificar si la dirección IP del sistema que
acaba de infectar, no ha sido bloqueada o puesto en listas
negras:
abuse.net
spamcop.net
Luego abre al azar un puerto TCP y otro UDP (al azar), para
enviar información a una página web de un sitio remoto como
los que se muestran a continuación:
spreadeaglehos.com
66.28.101.143
www.viewthissite.com
Existen múltiples variantes de este troyano, que se conectan
a diferentes sitios (solo varía un poco el tamaño del
ejecutable), por lo que la lista es solo parcial.
La información enviada es probable integre una base de datos
para spammers.
Aunque no posee un mecanismo de propagación, debemos
considerar que el troyano podría ser enviado en forma
premeditada o accidental, por correo electrónico, o
descargado de sitios maliciosos, o a través de redes P2P.
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier
conexión a Internet, o red local, antes de proceder a su
limpieza.
* Reparación manual
Para eliminar manualmente este gusano de un sistema
infectado, siga estos pasos:
1. Detenga el proceso del virus en memoria:
a. en Windows 9x y Me, pulse CTRL+ALT+SUPR.
b. en Windows NT/2000/XP pulse CTRL+SHIFT+ESC.
2. En ambos casos, en la lista de tareas, señale la
siguiente:
syscpy.exe
3. Seleccione el botón de finalizar tarea.
En Windows NT/2000 o XP, deberá seleccionar esta última
opción en la lengüeta Procesos.
4. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha
busque y borre la siguiente entrada:
Syscpy
7. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
8. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Antivirus
Para la limpieza de este troyano, actualice sus antivirus con
las últimas definiciones, y ejecútelos en modo escaneo,
revisando todos sus discos. Luego borre los archivos
detectados como infectados.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\system32\syscpy.exe
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Troj/DoS.MSNFlooder.A. Inunda de mensajes IM
_____________________________________________________________
http://www.vsantivirus.com/troj-msnflooder-a.htm
Nombre: Troj/DoS.MSNFlooder.A
Alias: DOS_MASSMSG.A, Trojan.Win32.MSNFlooder.28672,
Flooder.MSN.VB.ac, Flooder:Win32/MSN.VB.AC, FDoS-MassMsg,
TROJ_MSNMASMSG.A
Fecha: 13/dic/03
Plataforma: Windows 32-bit
Tamaño: 28,672 bytes
Reportado por: Trend Micro
Se trata de un troyano, no residente en memoria, que puede
llegar a la computadora de su víctima en la forma de un
archivo WIN.SCR.
No posee rutinas de propagación, ni tampoco de autoejecución.
Cuando se ejecuta, envía el mensaje "win" a través de una
ventana pop-up IM (Instant Messenger), a todas las entradas
de la lista de contactos de Windows o del MSN Messenger.
Escrito en Visual Basic, está diseñado para funcionar en
Windows 95, 98, Me, NT, 2000, y XP, pero puede fallar en éste
último por un error de programación. En ese caso muestra el
siguiente mensaje:
Method Not Found.
El troyano examina si el MSN Messenger o el Mensajero de
Windows están activos en el sistema. Al menos uno de ellos
debe estar presente para que pueda continuar su acción. Si
ello no ocurre, simplemente finaliza su ejecución.
Para crear una ventana de mensajes IM (Instant Messenger),
usada para enviar y recibir mensajes, el troyano utiliza las
siguientes APIs del Messenger (API, Application Program
Interface, es un conjunto de rutinas que un programa puede
utilizar para solicitar y efectuar servicios de nivel
inferior ejecutados por el sistema operativo de un equipo):
oMessengerAPI_OnIMWindowCreated
oMessengerAPI_OnIMWindowDestroyed
El usuario puede llegar a ver una ventana emergente.
El troyano intenta determinar si se ha creado dicha ventana
satisfactoriamente, para ello busca una ventana del Messenger
con las propiedades de clase "DirectUIHWND". El troyano solo
se ejecuta en las versiones del Messenger 6.0 o superiores.
Luego del envío del texto "win", finaliza su ejecución.
Note que se trata de un programa maligno, no un virus ni un
gusano, que pueda propagarse por si solo. Requiere la acción
directa del usuario damnificado para activarse (doble clic
sobre el archivo), por lo que suele usarse en forma
premeditada por algunos atacantes, obligando por medio de
engaños a su ejecución. También puede ser descargado de
sitios maliciosos, disfrazado de alguna utilidad que
despierte nuestra curiosidad.
Como siempre, se recomienda no abrir archivos enviados sin su
consentimiento, ni ejecutar nada descargado de Internet o
cuya fuente sean disquetes, CDs, etc., sin revisarlo antes
con uno o dos antivirus al día.
Para quitar el troyano de su sistema, solo borre el
ejecutable. Para identificarlo, utilice un antivirus al día
para examinar todos los archivos de su disco duro. Las
muestras detectadas indican que se propaga en un archivo
llamado WIN.SCR, pero podría tener otro nombre.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1255 Año 8, Domingo 14 de diciembre de 2003
|
VSantivirus No. 12
Responder a este mensaje
