Mostrando mensaje 354     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1305 Año 8, lunes 2 de febrero de 2004 Fecha: Lunes, 2 de Febrero, 2004  06:26:28 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1305 Año 8, lunes 2 de febrero de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Mydoom y el mayor ataque de la historia 2 - Escalada de privilegios en BlackICE PC Protection 3 - Ejecución de comandos con privilegios en Solaris 4 - Troj/Winpup.B. Abre sin aviso páginas pornográficas _____________________________________________________________ 1 - Mydoom y el mayor ataque de la historia _____________________________________________________________ http://www.vsantivirus.com/02-02-04.htm Mydoom y el mayor ataque de la historia Por Angela Ruiz angela@videosoft.net.uy La página del fabricante de software estadounidense SCO, sucumbió este domingo ante el ataque de denegación de servicio provocado por el gusano Mydoom, a pesar de que sus responsables habían afirmado que estarían preparados para enfrentarse al mismo. Ahora, se espera que Microsoft, la víctima prevista para el próximo ataque, sea la que ponga a prueba sus defensas este martes. "Mydoom", es ya el gusano de mayor y más rápida propagación de la historia de Internet. Y también, hasta ahora, el que provocó el ataque más importante a la misma. Tal como estaba previsto en su código, y a pesar de algunos fallos en el mismo, www.sco.com, quedó inaccesible desde los primeros minutos. "Ha comenzado un ataque a gran escala del servicio que hace completamente inaccesible el sitio de la empresa", dijo SCO en una declaración escrita enviada a la prensa este domingo. SCO, propietaria del sistema operativo UNIX, informaba en dicho comunicado, que desde la medianoche del sábado (05:00 GMT), su sitio web fue inundado por pedidos que sobrepasaron su capacidad. "Este ataque a gran escala, causado por el virus informático Mydoom, que se estima infectó a cientos de miles de computadoras en todo el mundo, está ahora atacando Internet con pedidos a www.sco.com";, explicaba Jeff Carlon, director de Tecnología de la Información de la empresa. "Tenemos una serie de planes de emergencia para enfrentarnos a este problema y comenzaremos a comunicarlos el lunes por la mañana", culmina la declaración. Lo cierto, es que numerosos expertos calculan en más de un millón la cantidad de computadoras infectadas. Y solo es necesario que algunas de ellas se conecten a Internet, para que un componente del gusano realice miles de peticiones por segundo al sitio atacado. El volumen de solicitudes y el ancho de banda empleado es tal, que prácticamente ningún sistema podría soportarlo. Se estima que la primera variante del gusano, Mydoom.A, estaría activa hasta el 12 de febrero, momento en que cesaría su ataque. Pero algunos estudios de su código, parecerían indicar que esta acción podría prolongarse aún después de esa fecha. Todos coinciden en que este ataque, es el peor ocurrido en la red. Otros gusanos, como el Sobig, intentaron en el pasado acciones similares, en ese caso contra Microsoft, pero sin demasiado éxito. Y si tomamos en cuenta que esto ocurrió un día domingo, es impensable la magnitud del problema cuando hoy lunes cientos de miles de usuarios corporativos, enciendan las computadoras infectadas de sus oficinas. El simple exceso de tráfico, podría provocar problemas en muchas partes de la red, y no solo en el servidor de SCO, el cuál difícilmente vuelva a estar en línea mientras dure el ataque. Además, todo ese millón de computadoras infectadas, pueden ser vulnerables a los ataques de piratas informáticos, que se podrían aprovechar de una puerta trasera habilitada por el gusano. Esto incluye la posibilidad de enviar spam. Al respecto, el aumento de correo no deseado, fue considerablemente notorio. Algunos servidores de correo llegaron a colapsar. Como ejemplo, los servicios de correo de empresas con las que VSAntivirus mantiene una relación comercial, fueron sobrepasadas en sus capacidades, lo que provocó problemas con nuestro propio correo corporativo. Se estiman que a nivel mundial, los costos económicos provocados por este gusano, podrían superar por lejos los 26,000 millones de dólares, según informa la firma de seguridad británica Mi2g. Y ahora el turno será para Microsoft, ya que como dijimos antes, dicha empresa está amenazada por el ataque de la segunda versión del Mydoom, la B. Esta acción ocurriría a partir del martes 3 de febrero, y se extendería hasta el primero de marzo. Y aunque se estima que la cantidad de máquinas infectadas con el Mydoom.B, es muy inferior a la reportada con la versión A, el ataque de todos modos provocaría que los usuarios no puedan acceder a la actualización del software de esta empresa (Windows, Internet Explorer, etc.), o que tengan dificultades para hacerlo. Esto podría ser muy grave ante la aparición de numerosas vulnerabilidades que no será posible reparar. Este ataque comenzaría a las 03:00 GMT del próximo martes (3 de febrero de 2004). La versión B, además, puede impedir el acceso de los usuarios a diferentes sitios de fabricantes de antivirus, lo que también dejaría sin posibilidad de actualización a cientos de miles de computadoras, con el riesgo de que la aparición de nuevos virus durante ese periodo, no tendrían fácil cura. Microsoft y SCO aumentaron sus ofertas por toda información que lleve a la captura del creador del Mydoom. De 250,000 dólares cada una, ahora ofrecen un millón de dólares (medio millón por cabeza). [Elaborado con información de agencias] * Relacionados: Mydoom no infecta el BIOS http://www.vsantivirus.com/01-02-04a.htm Investigador ruso dice que el Mydoom sería más peligroso http://www.vsantivirus.com/31-01-04.htm Cuentos y verdades sobre el Mydoom http://www.vsantivirus.com/faq-mydoom.htm W32/Mydoom.A. Gusano de gran propagación http://www.vsantivirus.com/mydoom-a.htm Mydoom se propagó en menos de cuatro segundos http://www.vsantivirus.com/28-01-04.htm Mydoom.B, nuevo protagonista de una batalla sin treguas http://www.vsantivirus.com/29-01-04.htm W32/Mydoom.B (Novarg.B). Segunda variante de este gusano http://www.vsantivirus.com/mydoom-b.htm El mecanismo de ataque DoS del Mydoom tendría errores http://www.vsantivirus.com/ev-mydoom-dos.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Escalada de privilegios en BlackICE PC Protection _____________________________________________________________ http://www.vsantivirus.com/vul-blackice-escalada.htm Escalada de privilegios en BlackICE PC Protection Por Angela Ruiz angela@videosoft.net.uy BlackICE PC Protection, combina en un solo producto protección contra intrusiones, cortafuegos personal, y protección de aplicaciones, en Windows 98, NT, 2000, Me y XP. Cuando BlackICE se instala por primera vez, la característica de protección de aplicaciones (Application Protection), está desactivada. También puede darse esta situación cuando un usuario actualiza su versión, y por supuesto, cuando la desactiva de forma premeditada. En todo caso, si ello sucede, el archivo de configuración del propio programa (blackice.ini) puede ser accedido y modificado de tal modo, que se puede provocar un desbordamiento de búfer en el ejecutable del servicio (blackd.exe). Combinando esto con otra clase de ataque, se puede lograr un aumento de privilegios del usuario en el sistema vulnerable. Esto ocurre porque BLACKD.EXE se ejecuta como SYSTEM (máximos privilegios). Hay un exploit disponible para provocar esta falla, que permite el acceso como root al sistema. El ejemplo (una página HTML), permite que se sobrescriba BLACKICE.INI por una versión maliciosa. Requiere la intervención del usuario. Si la protección de aplicaciones está activada, el propio programa queda protegido y no es posible sobrescribir dicho archivo. Son vulnerables las versiones 3.6.cbz y anteriores. El vendedor publicó una versión actualizada que resuelve este problema, y que puede ser descargada desde este enlace: http://blackice.iss.net/update_center/index.php * Reportado por: Secure Network Operations, Inc. http://www.secnetops.com/research * Referencias: BlackICE PC Protection http://blackice.iss.net/product_pc_protection.php (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Ejecución de comandos con privilegios en Solaris _____________________________________________________________ http://www.vsantivirus.com/vul-pfexec-solaris.htm Ejecución de comandos con privilegios en Solaris Pfexec de Sun Solaris puede ejecutar comandos con privilegios elevados. Fuente: www.GorilaX.com Una vulnerabilidad fue reportada en el comando pfexec de Solaris 8 y 9. Un usuario local puede ejecutar comandos de perfil con privilegios elevados en ciertos casos. Sun reportó que un usuario local puede ejecutar comandos de perfil consiguiendo elevar los permisos originalmente otorgados. Esto puede ocurrir si la base de datos de los perfiles de ejecución (exec_attr(4)) contiene una entrada inválida para ese perfil. Las versiones afectadas del SO son la 8 y 9, mientras que la 7 no se ve afectada por esta vulnerabilidad. Sun aclaró que para modificar el archivo exec_attr(4) se requieren privilegios de root. Impacto: Elevación de privilegios de un usuario local, en ciertos casos. Solución: Sun ha liberado el respectivo parche para esta falla. Plataforma SPARC * Solaris 8 con parche 109007-15 sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=109007&rev=15 * Solaris 9 con parche 116237-01 sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=116237&rev=01 Plataforma x86 * Solaris 8 con parche 109008-15 sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=109008&rev=15 * Solaris 9 con parche 116238-01 sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=116238&rev=01 * Enlaces de interés sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F57453 Traducido y editado por: Zeus Webmaster - www.GorilaX.com - www.Gostter.com Basado en el articulo publicado en www.Securitytracker.com: securitytracker.com/alerts/2004/Jan/1008893.html www.GorilaX.com [Artículo publicado originalmente en http://www.gorilax.com/articulo.php?sid=3302] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Winpup.B. Abre sin aviso páginas pornográficas _____________________________________________________________ http://www.vsantivirus.com/troj-winpup-b.htm Nombre: Troj/Winpup.B Tipo: Caballo de Troya Alias: W32/Winpup.B-tr, Downloader-GF, PMS/Winpup.2, Trj/Revop.A, TROJ_WINPUP.B, Trojan.Revo, Trojan.Revop, Trojan.Win32.Revop, TrojanDropper:Win32/Jitux Tamaño: 65,536 bytes Fecha: 30/ene/04 Plataforma: Windows 32-bit Este troyano hace que se abran en el explorador, sitios de carácter pornográfico, sin ninguna clase de advertencia. Infecta el sistema luego de la instalación de algunos programas descargados de sitios maliciosos. Cuando se ejecuta, crea los siguientes archivos: c:\windows\system\pup.exe c:\windows\system\sswchxm.exe NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003). El troyano utiliza el archivo de Windows MSINET.OCX para que el mismo se ejecute como servidor y asista al troyano en las conexiones a Internet. Crea la siguiente entrada en el registro, para autoejecutarse en cada reinicio: HKLM\Software\Microsoft\Windows\CurrentVersion\Run sswchxm = c:\windows\system\sswchxm.exe Una vez activo, en forma periódica, el gusano abre con el Internet Explorer, páginas pornográficas. Se sugiere bloquear el acceso al siguiente sitio: retardedinternetgeek.com * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\system\pup.exe c:\windows\system\sswchxm.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: sswchxm 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF) Para activar ICF en Windows XP, siga estos pasos: 1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red). 2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas. 3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos. 4. Seleccione Aceptar, etc. * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1305 Año 8, lunes 2 de febrero de 2004