Mostrando mensaje 561     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1512 Año 8, viernes 27 de agosto de 2004 Fecha: Viernes, 27 de Agosto, 2004  04:02:06 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1512 Año 8, viernes 27 de agosto de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - El SP2, esa falsa sensación de seguridad 2 - Hoax: Ultimas de Atenas (falsa alerta de virus) 3 - W64/Shruggle.A. Primer virus para procesadores AMD64 4 - W64/Rugrat.A. Primer virus para procesadores IA64 _____________________________________________________________ 1 - El SP2, esa falsa sensación de seguridad _____________________________________________________________ http://www.vsantivirus.com/27-08-04.htm El SP2, esa falsa sensación de seguridad Por Jose Luis Lopez videosoft@videosoft.net.uy La seguridad en informática, es una cosa de la que todos hablan. Y sin embargo, muy pocos escuchan cuando alguien explica de que se trata. Las noticias sobre el reciente lanzamiento del tan mentado Service Pack 2 de Windows XP, se han sucedido a un ritmo tan frenético y desbocado, que cualquier cosa que ponga SP2 en el título, atrapa el interés de miles de lectores. Y últimamente, la mayoría de esas noticias mencionan las vulnerabilidades que ya existen, o las que serán descubiertas, pero pocas hablan de lo que realmente significa este "paquete de servicios" para Windows. El SP2 no es la solución definitiva a todos los agujeros de seguridad, ni convertirá a Windows en un inexpugnable reducto a prueba de toda clase de ataques. Este Service Pack, es solo una herramienta más para ayudarnos a tener más seguro nuestro PC. Tal vez Microsoft haya tenido parte de la culpa en hacer creer a muchos que esta actualización de Windows XP era la cura de todos los males (algunas de sus afirmaciones pudieron hacer pensar esto). Pero no lo es, solo nos ayudará a que nuestro sistema esté más protegido. Esta semana, una conocida publicación de lengua inglesa, mencionaba que el SP2 representa "una falsa sensación de seguridad", debido a "los enormes cráteres" encontrados en una de sus facilidades, el nuevo Centro de Seguridad de Windows. Esa misma publicación no menciona nada sobre que dicha vulnerabilidad (que no es tal), solo es explotada si el atacante ya obtuvo el control total del sistema. Es lo mismo que decir que un ladrón hizo entrar a toda su pandilla por la puerta principal de nuestra casa para ayudarlo a desvalijarla, sin mencionar que el ladrón abrió la puerta desde adentro, porque tenía la llave en su poder. ¿Y cómo obtuvo esa llave? De muchas maneras. Tal vez nos llamó haciéndose pasar por un miembro de nuestra familia, pidiendo que le dejáramos la llave debajo de la alfombra de la entrada, o tal vez la consiguió luego de entrar por una ventana que da a la calle y que olvidamos cerrar. ¿Es mala la seguridad de nuestra casa por esto? Pues claramente no. Aunque tuviéramos la puerta más segura y blindada del mundo y con todas las alarmas activadas, si dejamos las llaves debajo de la alfombra o no cerramos todas las ventanas, de poco sirve esa seguridad. Eso mismo ocurre con Windows y con cualquier otro sistema operativo. No importa que tan seguro sea, si confiamos en mensajes que nos piden abrir adjuntos que no solicitamos, o no actualizamos nuestros antivirus, o desactivamos el cortafuego porque no podemos conectarnos a un chat, o porque no funciona la descarga de archivos MP3. Según la publicación, una de las características del nuevo Centro de Seguridad, es que Windows almacena en una base de datos interna el estado actual de los elementos claves de sus defensas (cortafuegos, antivirus y actualizaciones). Para ello utiliza un subsistema ampliamente documentado, el Windows Management Instrumentation (WMI). La Instrumentación Administrativa de Windows, es un API del sistema operativo que permite controlar y administrar a los equipos de una red, y cuyas funciones constituyen un estándar de la industria. En la información publicada, se menciona que un programa maligno podría "ver" si un cortafuego está desactivado, o si el antivirus está actualizado o no, y modificar la configuración ya que los archivos de la base de datos no están configurados como de solo lectura (pero si fueran de solo lectura, no servirían para "guardar" datos, ¿no?). A partir de ese punto, un atacante podría engañar al sistema y conseguir acceso total al mismo. Sin embargo, el problema aquí, no es que ello se pueda hacer o no. El problema es que cuando se puede llegar a hacer eso (y además se requiere un usuario con derechos administrativos), es porque el atacante ya obtuvo la llave de nuestra casa. Dicho de otra manera, si ese tipo de modificación a la base de datos ocurre, es porque ya ingresó a nuestro sistema un troyano con la posibilidad de hacer mucho más daño que el que se plantea en los ejemplos de la publicación. El SP2 nos dará herramientas para que las puertas de nuestra casa no sean vulneradas, pero no pretendamos que no le deje abrir las puertas si usted pone la llave en la misma y luego la gira para abrirla. La frase en el logo de VSAntivirus dice "Estar enterados para estar seguros". Y estar enterados es no solo saber que existen potenciales agujeros de seguridad en cualquier programa que ejecutemos (o que tarde o temprano, alguien los descubrirá). También significa que es más peligroso estar desinformado por no decir toda la verdad. Y aún peor es pensar que exista una solución mágica que cierre a cal y canto nuestra computadora de todo acceso furtivo de maliciosos atacantes. Decir que el SP2 será la cura de todos los males, y que nos permitirá irnos de juerga con nuestros amigos dejando la casa segura sin preocuparnos si cerramos o no todas las puertas y ventanas, por cierto que es generar "una peligrosa sensación de seguridad". El Service Pack 2 no nos hará más inteligentes, solo hará que Windows XP funcione mejor en muchas cosas. Pero mientras no "escuchemos" lo que significa la seguridad, poco podremos hacer para que realmente nuestra computadora sea más segura. * Relacionados Que hay de nuevo en Service Pack 2 para Windows XP http://www.vsantivirus.com/windowsxp-sp2.htm Microsoft intenta aclarar la confusión sobre el SP2 http://www.vsantivirus.com/21-08-04.htm Más sobre la grave vulnerabilidad "Drag and Drop" en IE http://www.vsantivirus.com/vul-ie-drag-and-drop2.htm Las primeras vulnerabilidades del SP2 de Windows XP http://www.vsantivirus.com/ev-19-08-04.htm Windows XP SP2 puede detener a los gusanos http://www.vsantivirus.com/14-08-04.htm Grave vulnerabilidad en Internet Explorer no corregida con Windows XP SP2 http://www.enciclopediavirus.com/noticias/verNoticia.php?id=478 Más errores de seguridad en Windows XP SP2 http://www.enciclopediavirus.com/noticias/verNoticia.php?id=477 Windows XP Service Pack 2: muy pronto... http://www.enciclopediavirus.com/noticias/verNoticia.php?id=471 SP2 de Windows XP, ¿la solución contra los virus? http://www.enciclopediavirus.com/noticias/verNoticia.php?id=437 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Hoax: Ultimas de Atenas (falsa alerta de virus) _____________________________________________________________ http://www.vsantivirus.com/hoax-atenas.htm Nombre: Ultimas de Atenas Alias: Ultimas de Atenas.com Fecha: 26/ago/04 Idioma: Español Origen: Desconocido Este mensaje, distribuido en algunas listas de correo y grupos de noticias, pretende ser una advertencia sobre un supuesto virus, pero solo se trata de un bulo (HOAX). Existen decenas de alertas similares, todas ellas falsas (no dan referencias concretas a sitios especializados que avalen la información, están mal escritos, algunos en mayúsculas como en este caso, dan información confusa, y sobre todo, piden que lo reenviemos a la mayor cantidad de gente posible). Pero aunque no hay actualmente ningún reporte de un virus que cumpla exactamente las condiciones aquí descriptas, de todos modos, recuerde que CUALQUIER archivo vinculado a un mensaje de correo electrónico, puede encerrar riesgos muy grandes si es abierto sin tomar precauciones. Utilice el sentido común. No abra jamás ningún archivo adjunto no solicitado. --- Texto del Hoax (textual) --- AVISO IMPORTANTE ¡¡ATENCION!! DURANTE LAS PROXIMAS SEMANAS QUEDEN ATENTOS Y NO ABRAN NINGUN E-MAIL CON EL ARCHIVO ANEXO "ULTIMAS DE ATENAS", INDEPENDIENTEMENTE DE QUIEN LE ENVIO EL MAIL POR FAVOR HAGA CIRCULAR ESTO ENTRE TODA SU FAMILIA Y AMIGOS,NO ABRA EL ANEXO "ULTIMAS DE ATENAS", ES UN VIRUS QUE ABRE UNA TROCHA EN SU PC Y QUEMA TODO EL DISCO RIGIDO C : ESTE VIRUS VIENE CON EL NOMBRE DE UNA PERSONA CONOCIDA DE SU LISTA DE DIRECCIONES. POR FAVOR, ENVIE ESTE MAIL A TODOS SUS CONTACTOS, ES PREFERIBLE RECIBIR 25 VECES ESTE MENSAJE QUE PERDER TODO. SI UD. RECIBE UN CORREO LLAMDO "ULTIMAS DE ATENAS.COM" UD. NO ABRA!!! BORRELO INMEDIATAMENTE! ESTE VIRUS SUPRIME LOS ARCHIVOS ENTEROS DE SU PC. --- Final del Hoax --- Existe una larga lista de mensajes como éste, conocidos en la red como "hoaxes" o "bulos", y que circulan a través del correo electrónico, advirtiendo sobre "virus" inexistentes. Su común denominador, es pedirnos que se los reenviemos a todos nuestros conocidos. ¡Jamás lo haga!. No solo terminará saturando muchas casillas de correo, sino que estará divulgando su dirección de correo, y las de sus amigos, a los spammers, los inescrupulosos generadores de correo basura. Más allá de lo que estas falsas alarmas le adviertan, tenga en cuenta que aunque en el momento actual tal virus no exista, nada impide que en el futuro aparezca un virus, o que un archivo infectado sea renombrado con el mismo nombre del HOAX. Además, seguramente aparecerán variantes del aquí descrito, con ligeras modificaciones. Para reducir la cantidad de mensajes de este tipo que se propagan a través de la red, y para evitar molestar a otras personas, no reenvíe jamás estos mensajes, y no propague estas advertencias, y mucho menos las crea, a menos que usted haya verificado su exactitud con alguna fuente seria y responsable. * Regla de tres simple para NO enviar correo basura Cuando esté a punto de reenviar un mensaje como éste, hágase estas tres preguntas: 1. ¿Escribió alguien más este mensaje? 2. ¿Está enviándolo a una lista larga de personas? 3. ¿Es un chiste, advertencia de cualquier clase que le llegó por correo, llamada de atención, poesía?. ¡Si la respuesta es SI a cualquiera de ellas, NO lo envíe! * Más hoaxes Puede encontrar una lista de las falsas alarmas más comunes, en nuestra dirección: http://www.vsantivirus.com/hoaxes.htm, o puede consultarnos a nuestra dirección e-mail: videosoft@videosoft.net.uy cuando reciba uno de estos mensajes. Otros sitios en español donde siempre podrá encontrar información debidamente investigada y comprobada: http://www.virusattack.com.ar http://www.rompecadenas.com.ar http://www.alertaantivirus.es http://www.enciclopediavirus.com En inglés: http://kumite.com/myths/myths/ http://antivirus.about.com/compute/antivirus/library/blenhoax.htm http://www.f-secure.com/hoaxes/hoax_new.shtml http://www.symantec.com/avcenter/hoax.html http://www.antivirus.com/vinfo/hoaxes/hoax.asp http://vil.nai.com/VIL/hoaxes.asp Agradecimientos: A Amalia, de Concordia, Entre Ríos, Argentina, por enviarnos una muestra de este HOAX. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W64/Shruggle.A. Primer virus para procesadores AMD64 _____________________________________________________________ http://www.vsantivirus.com/shruggle-a.htm Nombre: W64/Shruggle.A Tipo: Infector de ejecutables (PE) Alias: Shruggle, Win64.Shruggle.1318, W64.Shruggle.1318, Win64/Shruggle.1318, Win64.Shruggle.1318, W64_SHRUGGLE.A Fecha: 25/ago/04 Plataforma: Windows 64-bit (AMD64) Tamaño: 1,318 bytes Virus del tipo parásito, que infecta archivos .EXE y .DLL, y solo se ejecuta en sistemas AMD64, bajo servidores Windows XP o 2003 de 64-bit. AMD64 es una nueva clase de procesadores para plataformas de computación de 64 bit, creados para servidores y estaciones de trabajo. Se trata del primer virus conocido para AMD64, escrito como una prueba de concepto (PoC), creado por el mismo autor del W64/Rugrat.A, el primer virus para procesadores Intel IA64 (Itanium). El virus infecta todos los archivos .EXE y .DLL (PE, Portable Executable), en el directorio actual y sus correspondientes subdirectorios. Para infectar estos archivos, no examina las extensiones de los mismos (no importa si son renombrados), pero solo infecta archivos de Windows específicos para procesadores AMD64. No infecta programas de Windows 32-bit, ni de 64-bit para otros procesadores, como los de Intel IA64 (Itanium). No hay reportes de que este virus esté en la calle (no posee capacidad de propagación), y está restringido a ambientes de trabajo que cumplan las condiciones ya enumeradas. El código del virus contiene el siguiente texto: Shrug - roy g biv No está encriptado, y se agrega al comienzo de los archivos infectados. * Método de limpieza Ejecute un antivirus actualizado, preparado para las plataformas afectadas. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W64/Rugrat.A. Primer virus para procesadores IA64 _____________________________________________________________ http://www.vsantivirus.com/rugrat-a.htm Nombre: W64/Rugrat.A Tipo: Infector de ejecutables Alias: Rugrat, W64_RUGRAT.A, W64.Rugrat.3344, W64/Rugrat, W64/Rugrat.3344, W64_RUGRAT.A, Win64.Rugrat.3344, Win64.Rugrat.8388, Win64.Rugrat.a, Win64:Rugrat-3344 Fecha: 29/may/04 Plataforma: Windows 64-bit (IA64) Tamaño: 3,350 bytes (aprox.) Este virus infecta archivos .EXE de sistemas de 64 bits, agregándose al final de estos. Utiliza técnicas usadas por antiguos virus de 32 bits como el W32/Chiton (W32.Shrug.gen), para no modificar el punto de entrada al programa infectado (se vale de la técnica conocida como EPO, Entry Point Obscuring Technique). Ello hace que el virus se ejecute antes y después que el archivo infectado lo haga. Está diseñado para ejecutarse en sistemas operativos de Windows 64-bit, solamente bajo procesadores Intel IA64 (Itanium). Infecta archivos en el directorio actual y todos los subdirectorios. Agrega aproximadamente 3,350 bytes al tamaño original de los archivos infectados, al final de los mismos. Utiliza técnicas especiales para no causar el fallo de los programas infectados, eludiendo la protección de archivos del sistema. No infecta archivos de 32-bit, y tampoco se ejecuta en plataformas de 32-bit sin el software necesario para emular los 64 bits. No se ejecuta en plataformas con otros procesadores de 64 bits, como AMD64. Los archivos infectados contienen el siguiente texto: Shrug - roy g biv El autor es el mismo del W64/Shruggle.A, el primer virus para AMD64. No hay reportes de que este virus esté en la calle (no posee capacidad de propagación). * Método de limpieza Ejecute un antivirus actualizado, preparado para las plataformas afectadas. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1512 Año 8, viernes 27 de agosto de 2004