| Asunto: | VSantivirus No. 1406 Año 8, miércoles 12 de mayo de 2004 | | Fecha: | Miercoles, 12 de Mayo, 2004 08:44:55 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1406 Año 8, miércoles 12 de mayo de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - La seguridad es cuestión de rutina
2 - MS04-015 Ejecución remota en Centro de Ayuda (840374)
3 - W32/Wallon.A. Infecta a través de un enlace
4 - eMule puede ser colgado por usuarios remotos
5 - Fallo en Maquina Virtual Java de Sun permite ataques DoS
_____________________________________________________________
1 - La seguridad es cuestión de rutina
_____________________________________________________________
http://www.vsantivirus.com/seguridad-rutina.htm
La seguridad es cuestión de rutina
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Mientras se anunciaba la aparición de un nuevo gusano que se
aprovecha como el Sasser de la vulnerabilidad que reinicia el
sistema cuando es explotada, aparece una nueva versión de
éste último, creada por un imitador del autor original, quien
fuera capturado el pasado fin de semana. ¿Alguien creyó
aquello de que muerto el perro se acabó la rabia?
El lunes, se anunció la aparición del Cycle.A, un émulo del
Sasser, que se vale de la misma vulnerabilidad que éste
último explota para infectar equipos que no hayan sido
actualizados con los últimos parches de Microsoft.
El Cycle, como el Sasser, pretende aprovecharse de la
vulnerabilidad LSASS de algunas versiones de Windows para
propagarse e infectar los equipos directamente a través de
Internet. Pero a pesar de algunas alertas aparecidas en la
prensa, este nuevo gusano poca o ninguna trascendencia ha
tenido, y ninguna máquina ha sido detectada como infectada.
Sin embargo, es interesante como recordatorio de que una vez
que un agujero de seguridad es tan ampliamente conocido, las
posibilidades del surgimiento de un código maligno que lo
explote siempre estarán latentes.
Además, ya existe incluso alguna herramienta que se vale de
una vulnerabilidad… ¡en el propio Sasser! Aunque no está
claro el uso de este código, es interesante recordar que un
virus es también un programa que puede tener algún
desbordamiento de búfer, y que siempre existirá alguien
dispuesto a explotarlo maliciosamente.
Pero las personas suelen no preocuparse por estas cosas, a
pesar de todo lo que pueda decirse. Se lamentan por un
problema puntual que les hizo perder alguna valiosa
información, y luego se dejan llevar por la rutina diaria, en
donde siempre está pendiente como "espada de Damocles", el
"después" ("después lo hago"), en relación a aquello de
mantener su equipo al día en materia de parches y
actualizaciones. Y recordemos que la frase "la espada de
Damocles" se utiliza desde hace mucho tiempo, para expresar
la presencia de un peligro inminente o de una amenaza. Nunca
más exacto.
El Sasser sirvió para que algunos tomaran un poco de
conciencia de la importancia de esto. La prensa también se
encargó de que algunos beneméritos administradores de redes
fueran víctimas del vilipendio de colegas y neófitos, cuando
divulgaban las noticias de que organismos gubernamentales y
otras instituciones tuvieron que suspender sus actividades
porque "alguien" se olvidó de "actualizar al menos sus
antivirus".
Sería hasta lógico pensar que a cualquier nuevo gusano que
quisiera aprovecharse de este fallo, se le tendría que hacer
muy difícil el lograrlo. Sería coherente pensar que una buena
parte del mundo (en el que también estamos nosotros), ya bajó
e instaló los parches que bloquean la vulnerabilidad que hizo
posible al Sasser.
Es lógico pensarlo, pero no es real. Muchos lo siguen dejando
en la bandeja del "después". Otros, alentados por las
noticias de la captura del autor de este gusano, respirarán
aliviados, porque ya no van a tener que reinstalar o
formatear sus equipos, si ya fueron víctimas de una de esas
infecciones. O hasta se alegran de no tener que perder su
valioso tiempo en descargar e instalar los parches
respectivos. Cómo mucho, se preocuparán de activar su
cortafuegos... si encuentran donde demonios tiene eso el XP.
Por todo ello, es muy malo crear esta falsa sensación de
seguridad, divulgando la noticia de que la captura del autor
aleja todo el peligro, y que ya no existirán "Sassers" en el
futuro.
Como para demostrarlo, un día después se conocieron reportes
de la aparición de una nueva variante de este mismo gusano,
evidentemente obra de un "copycat", un imitador del autor
original que simplemente tocó un poco el código para cambiar
algunos nombres en el Sasser original (el A), y luego lo
recompactó de forma diferente, buscando eludir la
identificación de algún antivirus.
Ayer fue el Cycle.A, que también se aprovecha de la
vulnerabilidad LSASS. Un gusano que no ha tenido casi ningún
reporte hasta el momento (a pesar de algunas alertas
divulgadas por la prensa), y creado aparentemente por un
iraní, según un texto con denuncias sobre la situación en
Irán que el gusano libera en la máquina de su víctima.
Hoy el Sasser.F, una versión reciclada del original, que ni
siquiera fue la versión más propagada del gusano.
Confiar en algunas noticias de la prensa no especializada,
tiene el peligro de esa falsa sensación de seguridad que las
mismas dejan. Y eso es tan malo como creer que toda alerta es
crítica, al menos por aquello de que cuando realmente lo sea,
no le vamos a creer.
Después de todo, la seguridad en nuestras computadoras es
solo cuestión de rutina, de no dejar para mañana lo que
podemos hacer ahora, de mantener al día los parches y
actualizaciones, de desconfiar de todo lo que venga de
Internet por más bueno que parezca, de no creer que todos
"ahí afuera" son los que dicen ser y no aceptar sus regalos
por más papel bonito que le pongan como envoltorio.
Se trata de algo tan sencillo como no aceptar caramelos de
extraños, ni creer en los platillos voladores hasta ver
alguno. Mientras tanto, cuidemos que nuestro auto tenga
líquido de freno y miremos para ambos lados antes de cruzar
una calle (aunque alguien nos diga que no viene ningún
vehículo).
Después de todo, de eso se trata la seguridad de nuestro PC.
(*) Jose Luis Lopez es el responsable del portal de seguridad
VSAntivirus.com. Este artículo ha sido escrito especialmente
para EnciclopediaVirus.com.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - MS04-015 Ejecución remota en Centro de Ayuda (840374)
_____________________________________________________________
http://www.vsantivirus.com/vulms04-015.htm
MS04-015 Ejecución remota en Centro de Ayuda (840374)
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Esta actualización resuelve una vulnerabilidad recientemente
descubierta en el componente "Centro de ayuda y soporte
técnico de Windows", que permite la ejecución remota de
código. El fallo se produce por la forma incorrecta en que se
validan las solicitudes URL en el protocolo HCP (Help and
Support Center).
Si un usuario está logeado en el sistema con privilegios
administrativos, un atacante podría aprovecharse de esta
vulnerabilidad para tomar el control total del sistema
afectado, incluyendo la instalación de programas;
visualización, cambio o borrado de datos; o para crear nuevas
cuentas de usuario con todos los privilegios.
* Nivel de gravedad: Importante
* Impacto: Ejecución remota de código
* Fecha revisión: 11 de mayo de 2004
* Software afectado:
Microsoft Windows XP y Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition
* No son afectados:
Microsoft Windows NT Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition SP6
Microsoft Windows 2000 SP2, SP3, SP4
Microsoft Windows 98
Microsoft Windows 98 Second Edition (SE)
Microsoft Windows Millennium Edition (ME)
Otras versiones anteriores no mencionadas, podrían o no ser
vulnerables, pero ya no son soportadas por Microsoft.
* Descripción
La vulnerabilidad se produce debido a que el componente
"Centro de ayuda y soporte técnico de Windows", no valida
correctamente una petición URL (Uniform Resources Locator o
Localizador Uniforme de Recursos), el "apuntador" a la
ubicación de cualquier archivo, por ejemplo una página HTML,
a través del protocolo HCP (Help and Support Center),
propietario de Microsoft, existente en Windows XP y Windows
Server 2003, además de otros sistemas como Windows Me, etc.
Sin embargo, el componente afectado está presente solo en
Windows XP y Windows 2003.
El Centro de ayuda y soporte técnico de Windows (HSC), es una
característica que proporciona ayuda al usuario para una gran
variedad de tópicos en el uso del sistema operativo y la
instalación de software y de hardware. Los usuarios y el
programa, utilizan enlaces con el prefijo "hcp: / /" en lugar
de "http: / /", para acceder al URL de una página de
información. El protocolo HCP interpreta el enlace abriendo
el Centro de ayuda y soporte técnico, del mismo modo que el
protocolo HTTP abre el navegador de Internet.
El error se produce al validarse incorrectamente la entrada,
lo que permite modificar el URL ofrecido al protocolo HCP.
Un atacante podría aprovecharse de esta vulnerabilidad
construyendo una URL maliciosa, de modo que cada usuario que
pinche en ese enlace, podría ejecutar en su equipo, código
elegido por el atacante y comprometer seriamente la seguridad
de su computadora. El URL puede residir en una página web, o
ser enviado a través del correo electrónico. El atacante
podría tener la habilidad para leer o enviar archivos
presentes en la máquina local.
Un factor mitigante es que el usuario no esté logeado en el
sistema como administrador, ya que la ejecución de cualquier
clase de código se realizará solo con los privilegios usados
en ese momento.
* Otras modificaciones
Windows XP soporta una característica que permite ofrecer
automáticamente al usuario, la opción de actualizar el
decodificador DVD. Esta facilidad es deshabilitada por este
parche para brindar una mayor seguridad y prevenir su
potencial mal uso por parte de un atacante. Los usuarios que
intenten utilizarla, recibirán un mensaje de error ("no se
puede mostrar esta página"). Se planea su sustitución por una
versión mejorada en futuros Service Pack.
Otro cambio producido por este parche, afecta al ayudante
para la instalación de nuevo hardware. El Centro de ayuda y
soporte técnico de Windows posee una característica que
pregunta al usuario para enviar la información de su perfil
de hardware después de ejecutar el ayudante para la
instalación automática de nuevo hardware. Esta facilidad
también ha sido removida y el usuario puede recibir un error
del tipo "no se puede mostrar esta página" cuando el ayudante
finaliza la instalación.
* Parches:
Los parches pueden descargarse de los siguientes enlaces:
[Nota: los enlaces aparecen cortados por superar la cantidad
de caracteres permitidos en el formato de este boletín. En
todos los casos se deben cortar y pegar en una sola línea]
Actualización de seguridad para Windows XP SP1 (KB840374)
http://www.microsoft.com/downloads/details.aspx?FamilyId=563F
65A3-D793-47B4-A607-948CAA5B3454&displaylang=es
Actualización de seguridad para Windows Server 2003
(KB840374)
http://www.microsoft.com/downloads/details.aspx?FamilyId=50AD
42D7-81BD-4F96-9AD1-0E67310551DF&displaylang=es
* Nota:
Antes de instalar estos parches verifique que el software que
se menciona tenga instalado los Service Pack a los que se
hace referencia. En caso contrario la aplicación puede fallar
o ejecutarse de manera incorrecta.
* Más información:
Microsoft Security Bulletin MS04-015
www.microsoft.com/technet/security/bulletin/ms04-015.mspx
Microsoft Knowledge Base Article - 840374
http://support.microsoft.com/?kbid=840374
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - W32/Wallon.A. Infecta a través de un enlace
_____________________________________________________________
http://www.vsantivirus.com/wallon-a.htm
Nombre: W32/Wallon.A
Tipo: Gusano de Internet
Alias: Wallon, I-Worm.Wallon, Win32/Wallon.A,
W32/Wallon.worm, W32/Wallon.A@mm, W32/Wallon.worm.a,
WORM_WALLON.A, W32.Wallon.A@mm, Win32.Wallon,
TR/SPY.GooglerFS.1
Fecha: 11/may/04
Plataforma: Windows 32-bit
Tamaño: 150,528 bytes (ASPack)
El 11 de mayo de 2004 se detectaron numerosos reportes de
infección ocasionada por este gusano. El mismo envía un
mensaje con formato HTML, sin adjuntos, que contiene un
enlace que se vale del servicio de redireccionamiento de
Yahoo para enviar el navegador del usuario a un sitio Web,
donde se ejecuta un script que descarga y ejecuta el
componente principal del gusano y otros archivos necesarios
para su descarga e instalación. La página actualmente no está
accesible.
Se trata de un gusano que no se envía como adjunto. En lugar
de ello, envía un mensaje de correo electrónico en formato
HTML, que solo contiene un enlace como el descrito antes.
El enlace redirecciona a un sitio de donde se descarga la
página TERRA.HTML.
http :// www .security-warning .biz/personal6/maljo24
Este archivo contiene a su vez, un enlace encriptado a la
página COUNT.HTML.
Esta página utiliza una conocida vulnerabilidad para
descargar y ejecutar el archivo SYS.CHM.
Este archivo se vale de un fallo en el manejo de los archivos
.CHM por parte del Internet Explorer. Es posible tratar a
cualquier archivo local como un archivo CHM (ayuda
compilada), sin serlo, si se utiliza una sintaxis especial.
Esto puede ser explotado por programas como WinAmp, Flash
Player, XMLHTTP, ADODB stream y otros, para ubicar y ejecutar
archivos en el área de seguridad local.
SYS.CHM descarga de ese modo otro archivo llamado SYS.EXE, el
cuál sobrescribe al Reproductor de Windows Media
(WMPLAYER.EXE).
El archivo SYS.EXE (ahora como WMPLAYER.EXE), es ejecutado
cada vez que el usuario intente usar el reproductor de
Windows Media.
Este archivo (SYS.EXE) descarga otro archivo llamado NOT.EXE
y lo guarda como ALPHA.EXE en el raíz de la unidad C: del
disco duro. Finalmente lo ejecuta. La página estaba en el
siguiente sitio:
http:/ /counter .spros .com
Adicionalmente, SYS.EXE (un troyano del tipo "downloader"),
cambia las páginas de inicio y de búsqueda del Internet
Explorer para que apunten al siguiente sitio:
www .google .com .super-fast-search .apsua .com
El archivo principal del gusano (ALPHA.EXE), es un ejecutable
en el formato PE (Portable Executable), programado en Borland
Delphi y comprimido con la herramienta ASPack.
Cuando se ejecuta, el gusano modifica la siguiente entrada en
el registro:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
Wh = [valor]
Si [valor] es [Yes], el gusano aguarda 5 horas antes de abrir
una página web (de contenido pornográfico) en el siguiente
sitio, utilizando el navegador que esté configurado por
defecto:
pixpox .com
Luego, el gusano continúa abriendo dicho sitio cada 10
minutos durante al menos 10 intentos.
Si el registro no existe (la primera vez que se ejecuta el
gusano), entonces lo crea y luego obtiene la configuración
SMTP del usuario del propio registro. Localiza y abre la
libreta de direcciones de Windows (WAB), para enviar a todos
los contactos mensajes como el siguiente, utilizando su
propio motor SMTP:
De: [dominio destinatario]
Para: [dirección destinatario]
Asunto: RE:
Texto del mensaje:
http:/ /drs.yahoo .com/[dominio destinatario]/NEWS
Por ejemplo, si la dirección es juan@mail.com, el mensaje
podría ser el siguiente:
De: mail.com
Para: juan@mail.com
Asunto: RE:
Texto del mensaje:
http:/ /drs.yahoo .com/mail.com/NEWS
El gusano evita enviarse a las direcciones que contengan las
siguientes cadenas:
+
admin
microsoft
postmaster
software
support
webmaster
Adicionalmente, el gusano envía un mensaje vacío a la
siguiente dirección (esto permitiría obtener las direcciones
de todas las máquinas infectadas, con la posible intención de
realizar una base de datos para spammers):
1@600pics.cjb.net
Si la libreta de direcciones del usuario está vacía, se
muestra un mensaje de error:
Alpha
OLE error 8004010F
[ OK ]
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Eliminación de procesos del virus en memoria
* Utilización de la herramienta "Process Explorer"
Para completar exitosamente el proceso de eliminación, es
necesario detener la ejecución del virus en memoria. Puede
usarse el administrador de tareas de Windows como se indicó
antes, pero en Windows 95, 98 y Me, no todas las tareas en
ejecución son visibles. Por ello se sugiere la herramienta de
uso gratuito "Process Explorer" (100 Kb), que puede ser
descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Una vez descargada dicha herramienta, cree una nueva carpeta,
copie allí el contenido del archivo .ZIP descargado y ejecute
el archivo PROCEXP.EXE.
2. Busque en la lista de procesos el que se llame
"ALPHA.EXE".
3. Pulse el botón derecho sobre ese proceso, y en la misma
ventana pulse en el botón "Kill Process" para matar este
proceso.
* Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Internet Explorer
\Main
3. Pinche en la carpeta "Main" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la siguiente
entrada:
Wh
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Cómo borrar archivos temporales de Windows
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de
"temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse
CTRL+E (o seleccione desde el menú "Edición", la opción
"Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo,
incluyendo los ejecutables.
5. Pinche con el botón derecho sobre el icono de la "Papelera
de reciclaje" en el escritorio, y seleccione "Vaciar la
papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo,
reinicie Windows en modo a prueba de fallos, como se indica
en el siguiente artículo, y repita todos los pasos
anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
* Cómo borrar archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet pinche en "Eliminar
archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Pinche en Aceptar, etc.
* Procedimiento para restaurar página de inicio y página de
búsqueda en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Pinche en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Pinche en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también
la página inicio" y seleccione el botón SI.
7. Pinche en "Aceptar".
* Seleccionar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde
Herramientas, Opciones de Internet, General, Página de
inicio, por una de su preferencia (o pinche en "Página en
blanco"). O navegue hacia una página de su agrado, pinche en
Herramientas, Opciones de Internet, General, y finalmente
pinche en "Usar actual".
* Restaurar las páginas de búsqueda del Internet Explorer
1. Inicie el Internet Explorer.
2. Pinche en el botón "Búsqueda" de la barra de herramientas.
3. En el panel que se despliega (Nuevo, Siguiente,
Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda"
(Use Search Assistant).
5. Pinche en el botón "Reiniciar" (Reset).
6. Pinche en el botón "Configuración de Autosearch"
(Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search
Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones.
* Información adicional
* Activar el cortafuegos de Windows XP (Internet Conexión
Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o
Conexiones de Red e Internet, Conexiones de Red).
2. Pinche con el botón derecho sobre las distintas conexiones
disponibles para conectarse a Internet, y en "Conexión de Red
de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet" en todos los casos.
4. Seleccione Aceptar, etc.
* Actualizar Internet Explorer
Actualice su Internet Explorer según se explica en el
siguiente artículo:
MS04-004 Actualización acumulativa para IE (832894)
http://www.vsantivirus.com/vulms04-004.htm
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - eMule puede ser colgado por usuarios remotos
_____________________________________________________________
http://www.vsantivirus.com/vul-emule-dos.htm
eMule puede ser colgado por usuarios remotos
Por Marcelo A. Rodriguez
marcelo-ar@videosoft.net.uy
eMule puede ser colgado por usuarios remotos con el envío de
una variedad de requerimientos malformados.
Rafel Ivgi (The-Insider) reporta una vulnerabilidad del tipo
DoS (Denegación de Servicio) en eMule, mediante la cual un
usuario remoto puede colgar al popular programa de
intercambio de archivos.
eMule es un conocido software de intercambio de archivos
entre usuarios (P2P).
Según el reporte, un usuario remoto puede enviar una serie de
requerimientos especialmente alterados para ocasionar que el
servicio eMule falle. Estos requerimientos incluyen un
"negative Content-Length POST request" (una solicitud POST
con longitud de contenido negativo), "GET requests" con
demasiados caracteres y/o sin especificador de "HTTP
version", un "GET request" con formato de cadena de
caracteres, un "GET request" con un nombre de archivo con
caracteres de directorio transversal y otros más.
Un script-exploit de demostración se provee en el código
fuente del mensaje incluido en el aviso de SecurityTracker.
No existe solución por parte del fabricante al momento de
publicar esta noticia.
Version chequeada: 0.42e
Aviso de alerta original:
http://www.securitytracker.com/alerts/2004/May/1010108.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Fallo en Maquina Virtual Java de Sun permite ataques DoS
_____________________________________________________________
http://www.vsantivirus.com/vul-java-sun-dos.htm
Fallo en Maquina Virtual Java de Sun permite ataques DoS
Por Marcelo A. Rodriguez
marcelo-ar@videosoft.net.uy
Se ha reportado una vulnerabilidad en el Java Runtime
Environment (JRE) en la Java Virtual Machine (JVM - Maquina
Virtual Java) de Sun, mediante la cual un usuario remoto
puede ocasionar una condición de denegación de servicio (DoS)
en el sistema atacado.
Sun reporta que un usuario remoto puede ocasionar que la JVM
entre en un bucle infinito (infinite loop) y deje de
responder. El fallo reportado reside en la función
decodeArrayLoop() en ISO2022_JP$Decoder.
Este fallo se presenta en las siguientes versiones para
Windows, Solaris y Linux:
SDK y JRE 1.4.2_03 o versiones 1.4.2_xx anteriores.
Las versiones anteriores a la 1.4.2 no están afectadas por
este fallo.
Solución:
Actualizarse a la versión 1.4.2_04 o posterior
http://java.sun.com/j2se/
Reporte original:
http://www.securitytracker.com/alerts/2004/May/1010091.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1406 Año 8, miércoles 12 de mayo de 2004
|
VSantivirus No. 14
Responder a este mensaje
