Mostrando mensaje 333     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1284 Año 8, lunes 12 de enero de 2004 Fecha: Lunes, 12 de Enero, 2004  01:50:28 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1284 Año 8, lunes 12 de enero de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - HTML/Citifraud.A. Timo al Citibank en forma de virus 2 - Ejecución remota de scripts en RealOne Player 3 - Los nuevos procesadores tendrán antivirus 4 - Troj/Sysrater.B. Roba contraseñas y las envía por email _____________________________________________________________ 1 - HTML/Citifraud.A. Timo al Citibank en forma de virus _____________________________________________________________ http://www.vsantivirus.com/citifraud-a.htm Nombre: HTML/Citifraud.A Tipo: Virus HTML Alias: HTML_CITIFRAUD.A, Frame Spoof Exploit Fecha: 11/ene/04 Plataforma: Windows 32-bit Tamaño: 5,928 bytes Reportado por: Trend Micro Se ha reportado a última hora del domingo 11 de enero de 2004, un mensaje enviado en forma de spam, que simula ser una notificación urgente de Citibank a sus clientes, en donde se le pide a los mismos que ingresen a sus cuentas para comprobarlas. De hacerlo, esta información será redirigida a un pirata. El mensaje explota una vieja vulnerabilidad del Internet Explorer (diciembre de 1998), que no afecta las versiones más actuales del mismo (Frame Spoof Vulnerability). El mensaje, en formato HTML y con el logo del banco, se presenta con estas características: De: Citibank Asunto: Important Fraud Alert from Citibank Texto del mensaje: Dear Citibank Account Holder, On January 10th 2004 Citibank had to block accounts in our system connected with money laundering, credit card fraud, terrorism and check fraud activity. The information in regards to those accounts has been passed to our correspondent banks, local, federal and international authorities. Due to our extensive database operations some accounts may have been changed. We are asking our customers to check their checking and saving accounts if they are active or if their current balance is correct. Citibank notifies all it's customers in cases of high fraud or criminal activity and asks you to check your account's balances. If you suspect or have found any fraud activity on your account please let us know by logging in at the below. [ Click Here To Login ] Cuando el usuario pincha en el enlace con forma de botón [Click Here To Login], se abre en el Explorer, una página web idéntica a la del banco para que el usuario pueda ingresar a su cuenta y comprobarla. Para ello, debe ingresar sus datos (ATM/Debit Card, PIN, etc.). La vulnerabilidad "Frame Spoof", permite a un usuario malicioso crear una página que simule ser la de un sitio web legítimo, metiendo el contenido de un marco (frame) dentro de una ventana. De ese modo el pirata puede obtener para si, la información ingresada por el usuario en dicha ventana. Esto afecta sitios normales (HTTP) y seguros (HTTPS), en versiones del Internet Explorer 4.0 e inferiores. * Para limpiar el virus Sólo borre el mensaje indicado. NOTA: Aunque este mensaje también puede clasificarse como SCAM por sus características, el hecho de que el mensaje utilice un exploit para una conocida vulnerabilidad, hace que muchos antivirus lo identifiquen como virus. * Para tener en cuenta: 1. Desconfíe siempre de un mensaje como el indicado. Cerciórese antes en los sitios principales, aún cuando el mensaje parezca "real". Toda vez que se requiera el ingreso de información confidencial, no lo haga sin estar absolutamente seguro. 2. Preste atención al hecho de que cualquier compañía responsable, le llevará a un servidor seguro para que ingrese allí sus datos, cuando estos involucran su privacidad. Una forma de corroborar esto, es observar si la dirección comienza con https: en lugar de solo http: (note la "s" al final). Un sitio con una URL https: es un sitio seguro. Pero recuerde que eso solo significa que las transferencias entre su computadora y el sitio serán encriptadas y protegidas, de ningún modo le asegura que el sitio es real. Note que el servidor seguro, no necesariamente es al que usted ingresa cuando entra a un sitio como el de un banco. Pero si debe serlo en el momento en que ese sitio lo lleve a algún formulario para ingresar datos confidenciales. Compruebe SIEMPRE, si al colocar el puntero del ratón sobre cualquier dirección indicada en un mensaje (sin hacer clic), el Outlook Express le muestra abajo la misma dirección. 3. Una vez en un sitio seguro, otro indicador es la presencia de un pequeño candado amarillo en el rincón inferior a su derecha. Un doble clic sobre el mismo debe mostrarle la información del certificado de Autoridad, la que debe coincidir con el nombre de la compañía en la que usted está a punto de ingresar sus datos, además de estar vigente y ser válido. 4. Si aún cumpliéndose las dos condiciones mencionadas, duda de la veracidad del formulario, no ingrese ninguna información, y consulte de inmediato con la institución de referencia, bien vía correo electrónico (si es una dirección que siempre usó), o mejor aún en forma telefónica. De todos modos, recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente. En caso de que por cualquier motivo se hubieran facilitado las claves, estas deberán ser cambiadas de forma inmediata, debiéndose poner el usuario en contacto con la institución correspondiente a la brevedad posible. * Más información sobre SCAM: Timo a clientes del Grupo Banco Popular de España http://www.vsantivirus.com/scam-grupobanco.htm Falso correo de Yahoo roba datos de tarjetas de crédito http://www.vsantivirus.com/scam-yahoo.htm Anatomía de otro SCAM a usuarios de eBay http://www.vsantivirus.com/scam-yahoo.htm SCAM: Estafa a la nigeriana http://www.vsantivirus.com/scam-nigeria.htm SCAM que pone en peligro las cuentas de Hotmail http://www.vsantivirus.com/scam-hotmail2.htm SCAM, SPAM, y los mercaderes de la muerte http://www.vsantivirus.com/16-09-01.htm ¡Cuídese del fraude!. Ser víctimas de este SCAM es fácil http://www.vsantivirus.com/scam-aol.htm Otro "scam" sobre Hotmail http://www.vsantivirus.com/scam-hotmail.htm ¿@ en un URL? Algo me huele mal http://www.vsantivirus.com/gm-arroba-url.htm Scams cada vez más elaborados http://www.vsantivirus.com/ev25-09-03.htm ¡Sigue la estafa contra usuarios de BBVA Net! http://www.vsantivirus.com/scam-bbvanet2.htm Clientes de un banco engañados por SCAM con troyano http://www.vsantivirus.com/11-05-03.htm Fraudes Digitales http://www.vsantivirus.com/cu-fraudes-digitales.htm Un viejo truco de ingeniería social http://www.vsantivirus.com/mm-bbva-scam.html Alerta de SCAM con cuentas de BBVAnet http://www.vsantivirus.com/scam-bbvanet.htm Cuidado con los negocios y regalos por Internet http://www.vsantivirus.com/agr-scam.htm Scam intenta engañar a usuarios de Microsoft http://www.vsantivirus.com/scam-helpdesk.htm Falso correo de Yahoo roba datos de tarjetas de crédito http://www.vsantivirus.com/scam-yahoo.htm SCAM: La estafa de "Vacaciones en Orlando" http://www.vsantivirus.com/scam-orlando.htm Dame el número de tu tarjeta y te pago las cuentas http://www.vsantivirus.com/ar-scam-paypal.htm Hoax: Falso mensaje que pide las contraseñas del MSN http://www.vsantivirus.com/scam-msn.htm Que el espíritu navideño no lo convierta en víctima http://www.vsantivirus.com/scam-ebay.htm Hoax: Usted es uno de nuestros ganadores http://www.vsantivirus.com/hoax-premio.htm Glosario: SCAM - Engaño con intención de estafa o fraude, que mezcla el correo no solicitado (SPAM) con un HOAX (bulo o broma). PHISHING - Técnica utilizada para obtener información confidencial mediante engaños (generalmente por medio de un "scam", mensaje electrónico fraudulento, o falsificación de página web). (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Ejecución remota de scripts en RealOne Player _____________________________________________________________ http://www.vsantivirus.com/vul-smi-realone.htm Ejecución remota de scripts en RealOne Player Por Marcelo A. Rodriguez marcelo-ar@videosoft.net.uy RealOne Player es un popular reproductor multimedia desarrollado por RealNetworks. Se ha detectado que la actualización de seguridad del 19 de agosto de 2003 no soluciona la vulnerabilidad "Cross-Site scripting" (XSS), que se encontró en los archivos .SMI del RealOne Player. http://www.service.real.com/help/faq/security/08182003/Spanish/ Arman Nayyeri, descubridor de esta falla, trabajó sobre la versión mas reciente del reproductor y obtuvo un exploit que aprovecha exitosamente la vulnerabilidad supuestamente parchada con la actualización de agosto de 2003, con solo reemplazar "javascript:" por "file:javascript:" en el archivo SMI. RealOne permite que "file:javascript:" se ejecute en la zona de seguridad de la ultima página cargada, que puede ser "Mi PC" o "Intranet local". El mencionado exploit funcionará aun si los scripts están inhabilitados. Como consecuencia de esta falla, un atacante podrá crear un archivo SMI malicioso, que cuando sea cargado por el usuario víctima, podrá ejecutar código Javascript en forma remota, obtener información de archivos y modificarlos en el sistema atacado. Versión afectada: RealOne Player 2.0 Build 6.0.11.868 y posiblemente anteriores. Aun no existe solución disponible para esta falla. Publicado en: http://www.securitytracker.com/alerts/2004/Jan/1008647.html * Relacionados: RealNetworks http://www.real.com/ * Más información: RealOne Player SMIL File Script Execution Variant Vulnerability http://www.securityfocus.com/bid/9378 RealOne Player SMIL File Script Execution Vulnerability http://www.securityfocus.com/bid/8453 * Glosario Archivos SMIL (.SMI) - Synchronized Multimedia Integration Language, o Lenguaje de integración y sincronización de archivos multimedia. Es similar al HTML (un lenguaje de marcadores o TAGS), desarrollado como una extensión XML, que permite integrar archivos multimedia (.avi, .mov, .mpg, .rm, .rp, .rt, etc.). Soporta archivos de RealAudio, RealMedia, RealPix, RealText, etc., en Internet Explorer y otros. Vulnerabilidad CROSS-SITE-SCRIPTING (XSS) - Esta falla permite a un atacante introducir en el campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Los nuevos procesadores tendrán antivirus _____________________________________________________________ http://www.vsantivirus.com/ev12-01-04.htm Los nuevos procesadores tendrán antivirus Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] Los fabricantes de procesadores AMD (Advanced Micro Devices), e Intel, planean una nueva tecnología que permitirá a sus chips, detener la mayoría de los ataques provocados por códigos maliciosos, antes que estos ocurran. La tecnología conocida por ahora como "Execution Protection" de AMD, y contenida en su chip Athlon de 64 bits, previene los desbordamientos de búfer, uno de los métodos más comunes utilizados para atacar a nuestras computadoras a través del software vulnerable a esta falla. Los desbordamientos de búfer pueden vencer las defensas tradicionales de la computadora, e insertar código malicioso que el procesador ejecutará. Con el método Execution Protection, los datos en el búfer solo podrán ser leídos, y no tendrán posibilidad de ejecutarse, informó el director de mercadeo de AMD en el Consumer Electronics Show llevado a cabo esta semana en Las Vegas. Esta tecnología ya existe dentro del chip Athlon 64, pero no ha sido activada. Ello ocurrirá cuando Microsoft libere su Service Pack 2 para Windows XP en el segundo trimestre de este año. Para entonces, AMD habrá adoptado algún nombre más comercial para la misma. Intel ha incluido una tecnología similar en Prescott, una versión mejorada del Pentium 4 que se espera para el próximo mes (febrero de 2004). Sobre esto, Intel no ha hecho todavía ningún comentario a la prensa. Los problemas de seguridad ya cuestan cifras varias veces millonarias a las empresas. Según un análisis realizado por AMD y Microsoft, al menos el 50 por ciento de las vulnerabilidades detectadas el pasado año que posibilitaron el ataque de numerosos gusanos y otros códigos maliciosos, se debieron a desbordamientos de búfer, y habrían sido evitadas si esta tecnología hubiera estado disponible en ese entonces. (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=367 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Sysrater.B. Roba contraseñas y las envía por email _____________________________________________________________ http://www.vsantivirus.com/troj-sysrater-b.htm Nombre: Troj/Sysrater.B Tipo: Caballo de Troya Alias: Sysrater.B, W32/Sysrater.B, TROJ_SYSRATER.B, PWSteal.Sysrater, PWS-LegMir.gen.b Tamaño: 19,456 bytes Plataforma: Windows 32-bit Fecha: 7/ene/04 Cuando se ejecuta, este troyano (comprimido con ASPack), queda residente en memoria, e intercepta la salida del teclado (keylogin), pudiendo luego enviar determinadas contraseñas capturadas, a un usuario remoto a través de un correo electrónico. Se copia en la siguiente ubicación: c:\windows\system\taskmon.exe NOTA 1: En Windows 95, 98 y Me, existe un archivo legítimo de Windows, del mismo nombre en C:\WINDOWS\TASKMON.EXE (Task Monitor). NOTA 2: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). También crea las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run TaskMontor = c:\windows\system\taskmon.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run TaskMontor = c:\windows\system\taskmon.exe El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P. Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\taskmon.exe IMPORTANTE: No borre C:\WINDOWS\TASKMON.EXE, ya que es un archivo legítimo de Windows. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada. 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: TaskMontor 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: TaskMontor 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1284 Año 8, lunes 12 de enero de 2004