| Asunto: | VSantivirus No. 1451 Año 8, sábado 26 de junio de 2004 | | Fecha: | Sabado, 26 de Junio, 2004 22:35:57 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1451 Año 8, sábado 26 de junio de 2004
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
Todo sobre SCOB y su ataque a servidores de Internet
_____________________________________________________________
http://www.vsantivirus.com/faq-scob.htm
Todo sobre SCOB y su ataque a servidores de Internet
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Una gran cantidad de sitios Web, algunos muy conocidos,
fueron comprometidos este fin de semana en la distribución de
código malicioso. El código ha sido identificado como "Scob"
(otros nombres: Toofer, Download.Ject, JS/Scob, JS.Toofer,
JS/Exploit-DialogArg.b, JS.Scob.Trojan, Win32.Toofer,
JScript/Toofer.Trojan, JS/Scob-A, Trojan.JS.Scob.a).
El atacante descargó un pequeño archivo conteniendo un código
en JavaScript para infectar estos sitios, alterando la
configuración de los servidores para que los mismos agreguen
dicho script a todas los archivos que son solicitados por los
usuarios (HTML, CSS, GIF, JPG, etc.).
Cuando un usuario visita el sitio infectado utilizando el
Internet Explorer, el javascript es enviado a su máquina, y
ejecutado. Las instrucciones del javascript descargan y
ejecutan desde otro sitio de Internet, ubicado en Rusia, un
troyano potencialmente peligroso.
Se han reportado diferentes ejecutables. Todos estos caballos
de Troya incluyen capturadores de teclado (keyloggers),
servidores proxy y otras puertas traseras que le permiten al
atacante, el acceso total al sistema infectado.
El código en javascript utiliza una vulnerabilidad conocida
del Microsoft Internet Explorer para descargarlos y
ejecutarlos, sin que ninguna advertencia sea mostrada al
usuario. Este tampoco debe hacer ningún clic sobre enlace
alguno para infectarse (salvo el primero que lo llevó a
visitar un sitio que perfectamente podría ser considerado
seguro y que tal vez visitara todos los días, pero que ha
sido también infectado).
* Para administradores de sitios Web
Si su servidor está comprometido, usted puede observar lo
siguiente:
- Todos los archivos enviados por el servidor web incluyen el
javascript. Como el script es enviado como un pie de página
global (global footer), todos los archivos lo agregarán,
incluidas imágenes y otros documentos como archivos
robots.txt, etc.
- Los archivos en el servidor no son alterados. El javascript
se incluye como un pie de página global y es agregado por el
servidor cuando los solicita el navegador.
- El "global footer" es puesto en un nuevo archivo.
No existen indicios claros de como se llegó a comprometer los
primeros servidores atacados. La recomendación es reinstalar
completamente un servidor que haya sido infectado, ya que
quitando la opción de agregar el pie de página y borrando el
javascript, no es posible asegurarse de haber eliminado otras
amenazas que aún pueden permanecer latentes. Se trata de un
ataque muy sofisticado y podrían existir otras puertas
traseras escondidas.
Microsoft publicó una advertencia sobre el tema, en donde
explica que también son vulnerables los usuarios de Windows
2000 Server que utilizan IIS, y que no hayan aplicado el
parche 835732 para Windows, según se indica en uno de los
últimos boletines emitidos por la compañía (MS04-011).
Microsoft recomienda a estos usuarios, descargar e instalar
dicho parche. Más información:
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
* Para usuarios domésticos
Si usted visita un sitio infectado y su navegador es
afectado, tenga en cuenta lo siguiente:
- Puede ver un error relacionado con un javascript. Pero ello
dependerá de como se tenga configurado el Explorer. Tenga en
cuenta que la infección puede ocurrir aún sin este mensaje.
- Desconecte su sistema de la red tan pronto como pueda.
- Ejecute un antivirus actualizado (busque la última
disponible, teniendo en cuenta que los fabricantes
actualizaron sus productos entre el 25 y el 26 de junio, una
base de datos con una fecha anterior no detectaría nada).
- Si usted utiliza un cortafuegos o es capaz de controlar de
algún modo el tráfico de su PC hacia Internet, tal vez podrá
ver los intentos de conexión con la dirección IP
217.107.218.147 por el puerto 80. Recuerde que en el caso de
Windows XP el cortafuegos integrado solo le bloquea el
tráfico entrante, no el saliente, por ello recomendamos
ZoneAlarm u otro similar.
- No se han reportado hasta el momento, otras direcciones a
las que el troyano intente conectarse, pero como dicho sitio
ha sido desactivado, los atacantes podrían emplear los mismos
métodos utilizados hasta ahora, para implantar un nuevo
script que apunte a nuevas direcciones.
- La mayoría de los fabricantes de antivirus detectan este
script como "Scob", con diferentes variaciones en su nombre
(Toofer, Download.Ject, JS/Scob, JS.Toofer, JS/Exploit-
DialogArg.b, JS.Scob.Trojan, Win32.Toofer,
JScript/Toofer.Trojan, JS/Scob-A, Trojan.JS.Scob.a).
- Una de las vulnerabilidades utilizadas (pero no todas),
puede ser bloqueada descargando e instalando el siguiente
parche (aunque se menciona el Outlook Express, corrige el
fallo para todos los demás componentes de Windows):
MS04-013 Parche acumulativo para Outlook Express (837009)
http://www.vsantivirus.com/vulms04-013.htm
* Lo que usted se pregunta sobre este ataque:
- ¿Cuál es el escenario del ataque?
Este ataque afecta sitios Web corriendo el servicio Microsoft
Internet Information Server (IIS) versión 5. Por medio de
ellos, son comprometidos los sistemas de los usuarios finales
que utilizan Internet Explorer y visitan estos sitios.
- ¿Es esta la primera vez que tantos servidores de Internet
han sido comprometidos para atacar navegadores?
No. El gusano Nimda intentó el mismo truco utilizando una
vieja vulnerabilidad del Microsoft Internet Explorer. Se han
observado otros intentos en el pasado. Este ataque es
especial porque afecta a muchos a servidores y no es
fácilmente perceptible.
- ¿Los sitios afectados son "mutilados" o alterados de alguna
forma?
No. En la mayoría de los casos, los usuarios y los
navegadores verán igual que siempre a los sitios afectados.
Sin embargo, el javascript infectado puede llegar a
interferir con otro javascript en la página respectiva.
- ¿El javascript que el servidor agrega a las imágenes,
también puede ser ejecutado?
No. El javascript agregado a las imágenes es inocuo. Solo el
agregado a los archivos HTML puede ser ejecutado, forzando al
navegador a conectarse clandestinamente al sitio del que
descarga el segundo troyano.
- ¿Cómo se puede proteger un servidor de Internet de esta
infección?
Aplique todos los parches necesarios. Si usted encuentra un
servidor sin los últimos parches, debería presumir que el
servidor ha sido comprometido, aún si no ha visto signos
obvios de un ataque. Dado el entorno actual de esta amenaza,
un servidor sin los últimos parches, es muy probable pueda
ser atacado exitosamente en las próximas horas.
- ¿Cómo se puede proteger a los usuarios para que no visiten
estos sitios web? ¿Se ha publicado alguna lista? ¿Debe
evitarse la navegación por Internet?.
No se ha proporcionado ninguna lista de sitios infectados.
Los sitios afectados han sido alertados y la mayoría ha
actuado rápidamente para eliminar la infección. En el momento
actual, no se conoce de ningún sitio que todavía tenga el
script. Sin embargo, dado que este tipo de ataque tiene
muchas posibilidades de ser repetido utilizando un código
diferente de javascript, se recomienda mantener actualizado
el software antivirus, y desactivar JavaScript de su
navegador.
Los usuarios finales deben tomar la precaución de
deshabilitar la opción de ejecutar scripts. Se debe tener en
cuenta que cualquier sitio Web, aun aquellos en los que
confíe el usuario, pueden ser afectados por este ataque y
contener código potencialmente malicioso.
En VSAntivirus recomendamos enfáticamente la configuración
sugerida en el siguiente enlace, que previene la activación
de cualquier clase de código script:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
* Enlaces relacionados:
JS/Scob.A. Descarga archivos al visitar sitios Web
http://www.vsantivirus.com/js-scob-a.htm
W32/Scob.A. Infecta servidores IIS 5.0
http://www.vsantivirus.com/scob-a.htm
Back/Padodor.W. Roba información confidencial
http://www.vsantivirus.com/back-padodor-w.htm
* Fuente:
The SANS Institute (System Administration, Networking, and
Security Institute), http://isc.sans.org/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. El criterio de selección solo pasa por nuestra
experiencia diaria con usuarios y clientes, a los que
asesoramos y damos servicio técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1451 Año 8, sábado 26 de junio de 2004
|
VSantivirus No. 14
Responder a este mensaje
