Mostrando mensaje 368     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1319 Año 8, lunes 16 de febrero de 2004 Fecha: Lunes, 16 de Febrero, 2004  06:03:08 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1319 Año 8, lunes 16 de febrero de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Fuga de código: se alejan los temores de desastre 2 - Exploit que se aprovecha del fallo en ASN.1 de Windows 3 - Troj/Bizai.A. Infecta al visitar una página Web 4 - VBS/Laske.A. Borra archivos de unidades A: a P: _____________________________________________________________ 1 - Fuga de código: se alejan los temores de desastre _____________________________________________________________ http://www.vsantivirus.com/16-02-04.htm Fuga de código: se alejan los temores de desastre Por Angela Ruiz angela@videosoft.net.uy La publicación BetaNews ha revelado en las últimas horas, información exclusiva sobre el origen del código fuente de Windows 2000 actualmente disponible en Internet. La fuga de ésta información, no se habría producido en los cuarteles de Microsoft, sino desde un antiguo socio de la compañía (desde 1994), llamado Mainsoft. El código liberado, incluye 30,915 archivos que aparentemente fueron removidos de una computadora con Linux utilizada por Mainsoft con propósitos de desarrollo. Fechado el 25 de julio de 2000, este código representaría parte del Service Pack 1 de Windows 2000. Los análisis indicarían que dichos archivos son solo una porción de un subconjunto del código fuente de Windows, que fuera licenciado a Mainsoft para el uso en un producto llamado MainWin. MainWin utiliza este código para crear versiones nativas en Unix de aplicaciones originalmente para Windows. Al respecto, es posible encontrar diversas referencias a MainWin en el código liberado, pero en un formato no compilable en Windows. Mainsoft era una de las dos únicas compañías con acceso al código fuente de Windows, antes que Microsoft lanzara en 2001 su iniciativa para compartir el mismo con diferentes gobiernos. Esta sociedad era parte del Windows Interface Source Environment (WISE), iniciativa de Microsoft para permitir que diferentes desarrolladores escribieran aplicaciones para sistemas Unix, como Linux, utilizando las APIS, interfaces de programación de Windows. Microsoft también empleó a Mainsoft para transportar Windows Media Player 6.3 e Internet Explorer a Unix. Aunque esta fuga puede ser una seria amenaza a la propiedad intelectual de Microsoft, su limitado alcance ayuda a la compañía a alejar los temores por un potencial desastre. Microsoft ha abierto una investigación junto al FBI, y ha informado que su seguridad interna no ha sido afectada. Debido a que Mainsoft utiliza solo partes seleccionadas del código de Windows en MainWin, Microsoft toma este incidente con menos preocupación a la vivida en los primeros momentos, ante la posible exposición pública del código fuente del producto que sirve de base para Windows XP y Windows Server 2003. Todavía no está claro como se le escapó a Mainsoft un código que tiene casi cuatro años en su poder. La compañía ya ha anunciado en su sitio, que colaborará completamente con Microsoft y con el FBI en la investigación, reconociendo la gravedad de la situación. * Referencias: Microsoft investiga fuga del código fuente de Windows http://www.vsantivirus.com/15-02-04.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Exploit que se aprovecha del fallo en ASN.1 de Windows _____________________________________________________________ http://www.vsantivirus.com/exp-vul-asn1.htm Exploit que se aprovecha del fallo en ASN.1 de Windows Por Angela Ruiz angela@videosoft.net.uy Se ha detectado en Internet, un exploit que se aprovecha de la vulnerabilidad en la librería ASN.1 de Microsoft Windows. Dicha vulnerabilidad podría permitir la ejecución remota de código en Windows 2000 o XP. El exploit, un código fuente con comentarios, clama poder realizar una condición de denegación de servicio (DoS) en el proceso LSASS de la computadora atacada. Este archivo corresponde a varios servicios de Windows relacionados con autenticación y manejo de contraseñas. Un examen del código del exploit indica que el mismo puede causar el ataque, mediante el envío de paquetes NetBIOS mal formados a los puertos TCP/139 o TCP/445. Funciona en Windows 2000 o superior (Windows XP, Server 2003). Para modificar el exploit, de modo que pueda realizar tareas más comprometidas, incluyendo la ejecución de código o la toma del control total de la máquina infectada, se requiere un buen conocimiento de Windows, pero no es imposible que a partir de él, pronto surja una variante que lo haga. Se recomienda como de máxima prioridad la instalación del parche que protege contra esta vulnerabilidad, publicado por Microsoft en febrero de 2004, y disponible en el siguiente enlace: MS04-007 ASN.1 de Windows: Ejecución de código (828028) http://www.vsantivirus.com/vulms04-007.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Troj/Bizai.A. Infecta al visitar una página Web _____________________________________________________________ http://www.vsantivirus.com/troj-bizai-a.htm Nombre: Troj/Bizai.A Tipo: Caballo de Troya Alias: Bizai, PHP_BIZAI.A Plataforma: Windows 32-bit Fecha: 14/feb/04 Tamaño: 453 bytes Este troyano utiliza una vulnerabilidad para la cuál aún no existen parches. El troyano se ejecuta cuando se visita una página en un sitio Web malicioso, o comprometido por un ataque de intrusos. Al usar el Internet Explorer, el fallo del que se vale, puede hacer que se descargue y ejecute un archivo sin la intervención del usuario, haciéndolo pasar por un CHM (un formato propietario de Microsoft para los archivos de ayuda compilados). Para ejecutar el script LAUNCH.HTML como un archivo CHM, se utiliza otro script dentro de etiquetas de imágenes (IMG SRC). LAUNCH.HTML utiliza una etiqueta "object" con un parámetro CLSID creado maliciosamente para permitir la ejecución de un ejecutable: MSTASKS.EXE. CLSID (Identificador de clase), es un identificador universal exclusivo (UUID) que identifica un componente en el registro de Windows de forma que otras aplicaciones puedan cargarlo. No existen parches para esta vulnerabilidad. La configuración sugerida en el siguiente artículo, impide la ejecución de archivos con este fallo, siempre que los sitios catalogados como de confianza, no estén comprometidos. Actúe con discreción al agregar sitios seguros a su Internet Explorer, si sigue las recomendaciones aquí dadas: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm Para eliminar el troyano, ejecute un antivirus actualizado y borre los archivos detectados. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - VBS/Laske.A. Borra archivos de unidades A: a P: _____________________________________________________________ http://www.vsantivirus.com/laske-a.htm Nombre: VBS/Laske.A Tipo: Gusano de Visual Basic Script Alias: VBS.Laske@mm Fecha: 13/feb/04 Plataforma: Windows 32-bit Tamaño: 2,867 bytes Gusano escrito en Visual Basic Script, que se propaga en forma masiva a través del correo electrónico. Intenta borrar el contenido de todas las unidades de discos y disquetes, desde la A a la P. Para propagarse, el gusano responde a todos los remitentes, de todos los mensajes en las bandejas de entrada y de elementos eliminados del Outlook y Outlook Express, enviándose a si mismo como adjunto. Los mensajes pueden tener estas características: De: [Usuario infectado] Asunto: Kysymys Datos adjuntos: LASKELMAT.HTML Texto del mensaje: Miksi I het t t laskelmat.html minulle. Haluatko myyd ne tiedot? Cuando se ejecuta, el gusano se copia en la siguiente ubicación: c:\laskelmat.html Luego, utiliza un comando DOS para borrar sin pedir confirmación, todos los archivos de las unidades de la letra "A:" a la letra "P:" inclusive. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1319 Año 8, lunes 16 de febrero de 2004