| Asunto: | VSantivirus No. 994 - Año 7 - Viernes 28 de marzo de 2003 | | Fecha: | Viernes, 28 de Marzo, 2003 11:04:38 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 994 - Año 7 - Viernes 28 de marzo de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Vulnerabilidad en Symantec Enterprise Firewall 7.0
2 - Troj/Rolark. Usa la falla de WebDAV en servidores IIS
3 - W32/Kindal.A. Crea un flujo enorme de datos enviados
_____________________________________________________________
1 - Vulnerabilidad en Symantec Enterprise Firewall 7.0
_____________________________________________________________
http://www.vsantivirus.com/vul-symantec-firewall.htm
Alerta: Vulnerabilidad en Symantec Enterprise Firewall 7.0
Fecha: 26/mar/03
Aplicaciones: Symantec Enterprise Firewall (SEF) 7.0
Sistemas operativos: UNIX (Solaris - SunOS), Windows (NT),
Windows (2000)
Severidad: Media
Riesgo: Se pueden saltear restricciones
Una vulnerabilidad reportada en el cortafuegos Symantec
Enterprise Firewall, permite que un usuario remoto pueda
saltearse el bloqueo de ciertas direcciones URL.
Cuando se habla de URL (Uniform Resources Locator o
Localizador Uniforme de Recursos), básicamente solemos
referirnos a cualquier dirección de Internet. En realidad se
trata de una estandarización de recursos que permite
encontrar estas direcciones. Dicho de otra manera, se trata
de un "apuntador" a la ubicación de cualquier archivo, como
por ejemplo una página HTML.
En combinación con un cortafuegos, un proxy o servicio proxy
es un servidor que actúa como intermediario entre los
sistemas del interior y del exterior de la red de una empresa
(o entre Internet y una computadora). El servicio proxy
determina si se permite una conexión solicitada entre un
sistema de la red interna y otro del exterior. Si se autoriza
la conexión, el cortafuegos se hace cargo del control.
La falla se basa en el uso de ciertos caracteres que permiten
incluir instrucciones críticas para el sistema, normalmente
no autorizadas para usuarios comunes.
Cuando una conexión HTTP se procesa, se analiza su formato, y
se compara con una base de datos. Si existe una coincidencia,
se bloquea la solicitud con un mensaje del tipo "403
Forbidden error". Esto no ocurre sin embargo, si se utilizan
técnicas como codificación, Unicode y UTF-8, que pueden hacer
fallar el bloqueo del cortafuegos.
En el caso del Symantec Enterprise Firewall, no existe aún
una solución oficial para esta vulnerabilidad. Sin embargo
Symantec ha publicado un artículo que describe como bloquear
las direcciones URL que un usuario pueda enviar, y que
contengan cualquier carácter de escape que pudiera ser usado
maliciosamente por cualquier intruso.
Este artículo está disponible en el siguiente enlace:
How to protect against directory traversal and URL overflow attacks
http://service1.symantec.com/SUPPORT/ent-gate.nsf/docid/2003032507434754
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - Troj/Rolark. Usa la falla de WebDAV en servidores IIS
_____________________________________________________________
http://www.vsantivirus.com/rolark.htm
Nombre: Troj/Rolark
Tipo: Caballo de Troya
Alias: Rolark, Trj/Rolark, TROJ_ROLARK.A, Exploit-MS03-
007.Crpt, Trojan.W32/ROLARK.A, Exploit:Win32/WebDAV
Fecha: 26/mar/03
Plataformas: Windows 32-bit
Se trata de una herramienta programada en C++, y diseñada
para acceder a sistemas remotos, aprovechando una
vulnerabilidad presente en algunos sistemas que utilizan
Windows 2000. Mediante esta utilidad, un atacante puede
obtener el control total sobre el sistema atacado.
Dicha vulnerabilidad consiste en un desbordamiento de buffer
en el componente WebDAV (ver "Falla crítica en servidores
Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htm).
Rolark no muestra mensajes o avisos que alerten sobre su
presencia, ya que no se instala ni se copia en el sistema. Se
trata de una herramienta que puede utilizar un atacante para
tomar el control de las computadoras vulnerables, que no
hayan sido actualizadas (ver "Expertos dicen: la falla en
Windows 2000 es muy grave", http://www.vsantivirus.com/26-03-
03a.htm).
El troyano se activa al ser ejecutado por el propio usuario,
por lo tanto se recomienda no abrir archivos enviados sin su
consentimiento, ni ejecutar nada descargado de Internet, o
copiado de disquetes, CDs, etc., sin revisarlo antes con uno
o dos antivirus al día. Rolark no puede propagarse por sí
solo.
* Soluciones
Instalación de los parches correspondientes y examen de
archivos con antivirus actualizado. Más información en estos
enlaces:
Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htm
Maldito parche. Windows 2000 entre la espada y la pared
http://www.vsantivirus.com/20-03-03.htm
Expertos dicen: la falla en Windows 2000 es muy grave
http://www.vsantivirus.com/26-03-03a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Kindal.A. Crea un flujo enorme de datos enviados
_____________________________________________________________
http://www.vsantivirus.com/kindal-a.htm
Nombre: W32/Kindal.A
Tipo: Gusano de Internet
Alias: W32/Kindal@MM, I-Worm.Kindal, W32.HLLP.Kindal@mm,
W32/Kindal
Fecha: 7/mar/03
Tamaño: 936,111 bytes
Plataforma: Windows 32-bit
Es un gusano capaz de enviarse en forma masiva a todos los
usuarios de la libreta de direcciones de Windows (.WAB), en
una variedad grande de posibles mensajes electrónicos.
Ejemplo 1:
De: The SoftNet Security HQ <d.mike@netsecurityhq.com>
Asunto: Free Net Security Bullettin Service: New security hole.
Datos adjuntos: CP_2OOAF3.exe
Texto del mensaje:
Cumulative Patch: (CP_2OOAF3)
Priority: Medium/High
Patch availability: Win9x/NT/XP
The problems could let an attacker run code on your
machine, read certain types of data files on an
affected system, or misrepresent the origin of a file
offered for download. Please, make sure your system
is not affected by this problem by running the
attached Analyzer/Patch.
Regards,
The SoftNet Security HQ.
--
Mike Donovald
Softnet Security HQ
email:
Ejemplo 2:
De: Wine Richman <w.richman@itoneonline.org>
Asunto: Wine Richman - my updated resume.
Datos adjuntos: Wine_Richman.exe
Texto del mensaje:
Dear Ms. Tempton:
It was very enjoyable to speak with you tod ay about
the assistant account executive position at the Smith
Agency. The job seems to be an excellent match for my
skills and interests. The creative approach to
account management that you described confirmed my
desire to work with you.
Please find my updated resume in the attachment.
Sincerely,
Wine Richman
w.richman@itoneonline.org
File: Wine_Richman.exe ( Selfextracting zip archive )
Ejemplo 3:
De: Anne Rosoe <anne_resoe79@hotmail.com>
Asunto: Hi, news about the party !
Datos adjuntos: Party List-Anne.exe
Texto del mensaje:
Hi wazzzup ? As promised I'm sending you the zip with
all the details about the party and the list for the
things we are still missing.
Let me know what you think !
cheers Anne.
Ejemplo 4:
De: Skid Marton [@work] <enemy@8mileroad.ca>
Asunto: I mate, there you go...
Datos adjuntos: This_Is_How_I_Feel-Track-02.remixed.exe
Texto del mensaje:
Lyrics below and audio track file attached. Cya !
(It's okay, it's okay. I'm gonna make it anyway.)
Sometimes I just feel, like Quittin I still might
Why do I still write?
And show these people what my level of skill's like
Sometimes I just hate life, Somethin ain't right
I'm goin the fuck home, She don't understand
Time for me to just to take matters into my own hands
Sometimes I get upset I'm just tryin to do what's best
And I try Sit alone and I cry Please I'm beggin you God
Please don't let me be pigeon holdin on regular job
Wherever you are, I'm tellin you dog
I've got every ingredient All I need is the courage
Cuz I ain't havin no luck with this so fuck it
Ejemplo 5:
De: Stan Crossfert <stan.cros@NO_SPAMrabbitrun.org>
Asunto: Hi Marshall, here is my project for you to check...
Datos adjuntos: ProjectPlans.exe
Texto del mensaje:
Hey ya, check out the attached zip executable. Have a
look at the whole thing, but pay attention to Fiona's
plans (Folder Fiona\mywishes.txt ). She is going pretty
much out of the schemes.
Ah, I forgot, how's your mum ?
Cuando el gusano envía un mail a cada contacto de la libreta
de direcciones, pone a todas las demás en el campo CCO:
(usado para el envío de copias con destinatario oculto).
Esto hace que los mensajes sean enviados a cada dirección,
tantas veces como usuarios existan en la libreta de Windows.
Además, revela al menos a otra persona la dirección
electrónica de la víctima infectada...
Además genera un flujo enorme de envío de datos, no solo por
la cantidad de mensajes, sino también por el tamaño del
adjunto, 936,111 bytes. Esto es especialmente notorio en los
usuarios con conexión vía módem.
El gusano utiliza su propio motor SMTP para enviarse, no
dependiendo de la presencia de un cliente de correo
específico para ello. Utiliza los datos de configuración de
la cuenta SMTP predeterminada de la víctima.
También intenta copiarse a si mismo en las carpetas
compartidas de utilidades P2P como KaZaA, Overnet, LimeWire o
Morpheus. Sin embargo esta característica parece no
funcionar.
Estos son los archivos que pretende copiar:
[eBook] Sex And The City Zipped.exe
[eBook] The Black Art Of Hacking
[eBook] Visual Basic Programming Handlebook.exe
[eBook] WebSite Design Zipped.exe
[eBook]The Hacker Zipped.exe
ACDSee 5.0 (Crack+Serial).exe
Adobe Photoshop 6 KeyGen.exe
Age of Mythology (NoCD+Crack).exe
AGV Antivirus Pro.exe
Borland Delphi Trial Crack.exe
Britney Spear (Nude Pics Pack).exe
Castle Wolfstein Multiplayer KeyGen.exe
Civilization III (Latest Cracked Patch).exe
CuteFTP PRO (Serial included).exe
Diskeeper 7.0 (Trial Crack).exe
DivX Codecs Pack (All Needed codecs).exe
DivX Video Bundle
Doom 3 Leaked Beta.exe
Easy CD Creator 5 Preview Crack.exe
Eminem - 8 Mile Screensaver.scr
Eminem 8 Mile Censored Scene.exe
Eminem 8 Mile Wallpaper.exe
Eminem Desktop.exe
Final Fantasy ROM collection I.exe
GetRight 4.5e (KeyGen+Crack).exe
Hacker Tools Pack.exe
HyperSnap-DX (Full + Crack).exe
ICQ Sniffer.exe
kaspersky Anti-Virus
Kaspersky Anti-Virus Pro (KeyGen+Crack).exe
Leisure Suit Larry 6.exe
Lord Of The Rings Screensaver.scr
Lula The Sexy Empire (Full+Crack).exe
Macromedia Flash MX 6.0 Crack.exe
MAME ROMS Archive I.exe
MAME ROMS Archive II.exe
mIRC32 (Serial included).exe
MyStuff Archive.exe
Nero Burning Rom 5.5 KeyGen.exe
Nintendo64 Emulator (ROM included).exe
Old Games Collection I.exe
Paint Shop Pro 7 Crack.exe
Paint Shop Pro7 KeyGen.exe
PC-Cillin 9.02 (Keygen+Crack).exe
Personal Firewall Pro.exe
Personal Web Server.exe
Porn Games Collection I.exe
PornStar Pic.jpg.pif
Quake 3 Arena CD KeyGen.exe
Queens Of The Stone Age (Complete Album).exe
Stacy Valentine.pif
Strip Poker 3.exe
SWiSH 2.0 KeyGen+Crack.exe
The Eminem Show (Full Album).exe
The Sims Nude Patch.exe
The Sims Online Crack.exe
Unreal 2 0][0 3 (Official Crack).exe
Virtual Valerie 2.exe
Warcraft 3 Crack.exe
Window Blinds + KeyGen.exe
WindowsXP SP KeyGen.exe
WinXP Themes Pack.exe
Winzip 8.1 Full.exe
WinZip 8.1 KeyGen.exe
XCOM 3 Apocalypse.exe
ZoneAlarm Firewall.exe
Los nombres de archivos y otra información, está encriptada y
no es visible en el ejecutable.
Cuando se ejecuta, el gusano se copia en las siguientes
ubicaciones y nombres:
C:\Windows\systask32l.exe
C:\Windows\System\ln32k.exe
También crea una carpeta vacía, y con los atributos de oculta
(+H).
C:\Windows\System\kindlyback
También crea un archivo que solo contiene la fecha del
sistema del momento que se ejecutó el gusano.
C:\Windows\System\ln32k.DLL
Finalmente, crea las siguientes entradas en el registro para
autoejecutarse en próximos reinicios del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SysService32 = C:\Windows\systask32l.exe
* Reparación manual
* Deshabilitar las carpetas compartidas por programas P2P
Si utiliza un programa de intercambio de archivos entre
usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas
instrucciones:
Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
C:\Windows\systask32l.exe
C:\Windows\System\ln32k.exe
C:\Windows\System\ln32k.DLL
C:\Windows\System\kindlyback
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares al
descripto antes.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
SysService32
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema
operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 994 - Año 7 - Viernes 28 de marzo de 2003
|
VSantivirus No. 99
Responder a este mensaje
