Mostrando mensaje 435     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1386 Año 8, jueves 22 de abril de 2004 Fecha: 22 de Abril, 2004  13:21:00 (+0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1386 Año 8, jueves 22 de abril de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Grave vulnerabilidad en el protocolo TCP 2 - W32/Netsky.Z. Utiliza como adjuntos archivos .ZIP _____________________________________________________________ 1 - Grave vulnerabilidad en el protocolo TCP _____________________________________________________________ http://www.vsantivirus.com/ev-vul-tcp.htm Grave vulnerabilidad en el protocolo TCP Por Enciclopedia Virus (*) http://www.enciclopediavirus.com/ [Publicado con autorización de Enciclopedia Virus] * Grave vulnerabilidad en el protocolo TCP podría causar grandes daños La que sería una seria vulnerabilidad en el protocolo TCP (Transmission Control Protocol), ha sido revelada esta semana. La gravedad de la misma estriba en que cualquier atacante podría interrumpir a su antojo todas las conexiones realizadas entre servidores y routers, causando un gran caos en Internet. Según el anuncio, el impacto de este fallo, puede variar entre los diversos fabricantes de routers, y del software utilizado (navegadores, programas de correo, aplicaciones P2P, mensajería instantánea, y muchos otros servicios que hacen al uso diario de Internet). Junto a IP, TCP es uno de los protocolos fundamentales para el funcionamiento de Internet. Y aunque aún existe cierta confusión sobre los detalles del problema, la mayoría de los escenarios afectados son tremendamente críticos. En principio serían todos aquellos que utilizan conexiones de larga duración y gran ancho de banda. Uno de los protocolos más afectados por esta vulnerabilidad en TCP, es el llamado BGP (Border Gateway Protocol), que se emplea para el intercambio de información de enrutamiento y el mantenimiento de las tablas de direcciones IP, y que hace uso intensivo de las conexiones TCP, sin utilizar ningún tipo de autenticación. Además del protocolo BGP, otros protocolos como DNS (usado para la resolución de nombres), y todos los protocolos que utilizan cifrado SSL, también serían vulnerables. Aunque el fallo fue descubierto a finales del año pasado, no se le dio mayor trascendencia, debido a que la posibilidad de un ataque exitoso, era de una en cuatro mil millones. Sin embargo, esta semana ha tomado estado público después que el experto en seguridad Paul Watson, afirmara haber descubierto un método para explotar esta vulnerabilidad con mucha mayor facilidad. Además, ya existen pruebas de concepto que demuestran que ello es posible. Por otra parte, el mismo experto anunció que dará más detalles sobre el tema, en la conferencia sobre seguridad llamada CanSecWest Conference, precisamente hoy jueves (22/4/04). Casi todos coinciden en que el problema podría ser muy grande, ya que involucra a casi cualquier comunicación realizada vía Internet. No es un problema de software mal construido o con errores, sino que afecta directamente a toda tecnología que cumpla con los estándares de TCP/IP. Básicamente, en toda conexión vía TCP, las dos partes involucradas negocian el tamaño de la llamada "ventana TCP", que indica la cantidad de paquetes enviados por vez, antes de pedirse y enviarse una autenticación. Esta ventana permite calcular a un atacante el número de paquetes falsos que podría enviar para que sean aceptados, antes de ser validados. Esta facilidad aumenta con más ancho de banda, ya que generalmente, mientras más rápidas sean las conexiones, más grande es la ventana (y se reduce el tiempo de necesidad de autenticación, o sea, se envían más paquetes en menos tiempo). Mientras más paquetes se permitan por ventana, más paquetes falsos pueden insertarse. Casi cualquier protocolo que se base en la utilización de conexiones TCP persistentes en el tiempo, y cuyos puertos y direcciones IP puedan ser identificados (prácticamente todos los servicios de Internet conocidos), sería vulnerable. Muchos fabricantes de routers (Jupiter y Cisco por ejemplo), ya han admitido estar afectados por el problema, y otros, como NEX, Hitachi, etc., han dicho que aun se encuentran estudiándolo. Sin embargo, para algunos expertos, el fallo solo afectaría a las conexiones permanentes o de larga duración. De todos modos, en los próximos días, seguramente se revelarán más detalles que indicarán el verdadero alcance de esta vulnerabilidad. * Más información: Vulnerabilidades en TCP http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin- UNAM-CERT-2004-006.html Vulnerabilidades TCP en productos Cisco http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin- UNAM-CERT-2004-007.html Multiple Vendor TCP Denial of Service Vulnerability http://xforce.iss.net/xforce/alerts/id/170 Vulnerabilities Issues in TCP http://www.uniras.gov.uk/vuls/2004/236929/index.htm Vulnerabilities in TCP http://www.us-cert.gov/cas/techalerts/TA04-111A.html (*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php Artículo original: www.enciclopediavirus.com/noticias/verNoticia.php?id=427 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - W32/Netsky.Z. Utiliza como adjuntos archivos .ZIP _____________________________________________________________ http://www.vsantivirus.com/netsky-z.htm Nombre: W32/Netsky.Z Tipo: Gusano de Internet Alias: Netsky.Z, W32/Netsky.Z.worm, W32/Netsky.gen@MM, Win32/Bagle.Variant.Worm, W32/Netsky.gen@MM, W32/Netsky.Z.worm, W32/Netsky-Z, I-Worm.NetSky.z, Win32.HLLM.Netsky.based, Win32/Netsky.Z, W32/NetSky.Z@mm Fecha: 21/abr/04 Plataforma: Windows 32-bit Tamaño: 22,016 bytes Variante del gusano Netsky.X reportada el 21 de abril de 2004. No posee ninguna carga destructiva en la máquina infectada, y solo se propaga por correo electrónico. Esta versión tampoco se propaga por redes P2P, ni intenta desinstalar a ningún otro gusano, como variantes anteriores. Los mensajes tienen estas características: Asunto: [uno de los siguientes] Important Document Hello Information Hi Texto del mensaje: [uno de los siguientes] Important details! Important notice! Important document! Important bill! Important data! Important! Important textfile! Important informations! Datos adjuntos: [uno de los siguientes nombres] details.zip notice.zip important.zip bill.zip data.zip part-2.zip textfile.zip informations.zip Los archivos .ZIP contienen el ejecutable del gusano con alguno de los siguientes nombres: informations.txt [muchos espacios vacíos] .exe textfile.txt [muchos espacios vacíos] .exe part-2.txt [muchos espacios vacíos] .exe data.txt [muchos espacios vacíos] .exe bill.txt [muchos espacios vacíos] .exe important.txt [muchos espacios vacíos] .exe notice.txt [muchos espacios vacíos] .exe details.txt [muchos espacios vacíos] .exe La infección se produce cuando el usuario abre el adjunto y hace doble clic sobre su contenido. Cuando se ejecuta por primera vez, el gusano crea los siguientes archivos en el directorio de Windows: c:\windows\jammer2nd.exe c:\windows\[nombres al azar].log c:\windows\[nombres al azar].log [...] c:\windows\[nombres al azar].log NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). También crea la siguiente entrada en el registro, para auto ejecutarse en cada reinicio: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Jammer2nd = c:\windows\jammer2nd.exe Instala un troyano de acceso remoto por puerta trasera (backdoor), que abre el puerto TCP/665 para recibir diversos comandos. Así, un usuario remoto puede descargar archivos desde Internet en el equipo infectado. Busca direcciones electrónicas en archivos con las siguientes extensiones, en todas las unidades de disco y mapeadas en red, de la C a la Z, excepto unidades de CD-Rom: .cfg .mbx .mdx .pl .htm .html .asp .wab .doc .eml .txt .php .vbs .rtf .uin .shtm .cgi .dhtm .ods .stm .xls .adb .tbb .dbx .mht .mmf .nch .sht .oft .msg .jsp .wsh .xml .ppt El gusano utiliza su propio motor SMTP para enviar sus mensajes. Finalmente, si la fecha del equipo es cualquiera entre los días 2 y el 5 de mayo de 2004, el gusano es capaz de ejecutar ataques de denegación de servicios (DoS) contra los siguientes sitios: www.educa.ch www.medinfo.ufl.edu www.nibis.de * Reparación manual * Antivirus Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Borre los archivos detectados como infectados por el virus. * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\jammer2nd.exe c:\windows\*.log Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas: Jammer2nd 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1386 Año 8, jueves 22 de abril de 2004