Mostrando mensaje 43     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 994 - Año 7 - Viernes 28 de marzo de 2003 Fecha: Viernes, 28 de Marzo, 2003  11:04:38 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 994 - Año 7 - Viernes 28 de marzo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Vulnerabilidad en Symantec Enterprise Firewall 7.0 2 - Troj/Rolark. Usa la falla de WebDAV en servidores IIS 3 - W32/Kindal.A. Crea un flujo enorme de datos enviados _____________________________________________________________ 1 - Vulnerabilidad en Symantec Enterprise Firewall 7.0 _____________________________________________________________ http://www.vsantivirus.com/vul-symantec-firewall.htm Alerta: Vulnerabilidad en Symantec Enterprise Firewall 7.0 Fecha: 26/mar/03 Aplicaciones: Symantec Enterprise Firewall (SEF) 7.0 Sistemas operativos: UNIX (Solaris - SunOS), Windows (NT), Windows (2000) Severidad: Media Riesgo: Se pueden saltear restricciones Una vulnerabilidad reportada en el cortafuegos Symantec Enterprise Firewall, permite que un usuario remoto pueda saltearse el bloqueo de ciertas direcciones URL. Cuando se habla de URL (Uniform Resources Locator o Localizador Uniforme de Recursos), básicamente solemos referirnos a cualquier dirección de Internet. En realidad se trata de una estandarización de recursos que permite encontrar estas direcciones. Dicho de otra manera, se trata de un "apuntador" a la ubicación de cualquier archivo, como por ejemplo una página HTML. En combinación con un cortafuegos, un proxy o servicio proxy es un servidor que actúa como intermediario entre los sistemas del interior y del exterior de la red de una empresa (o entre Internet y una computadora). El servicio proxy determina si se permite una conexión solicitada entre un sistema de la red interna y otro del exterior. Si se autoriza la conexión, el cortafuegos se hace cargo del control. La falla se basa en el uso de ciertos caracteres que permiten incluir instrucciones críticas para el sistema, normalmente no autorizadas para usuarios comunes. Cuando una conexión HTTP se procesa, se analiza su formato, y se compara con una base de datos. Si existe una coincidencia, se bloquea la solicitud con un mensaje del tipo "403 Forbidden error". Esto no ocurre sin embargo, si se utilizan técnicas como codificación, Unicode y UTF-8, que pueden hacer fallar el bloqueo del cortafuegos. En el caso del Symantec Enterprise Firewall, no existe aún una solución oficial para esta vulnerabilidad. Sin embargo Symantec ha publicado un artículo que describe como bloquear las direcciones URL que un usuario pueda enviar, y que contengan cualquier carácter de escape que pudiera ser usado maliciosamente por cualquier intruso. Este artículo está disponible en el siguiente enlace: How to protect against directory traversal and URL overflow attacks http://service1.symantec.com/SUPPORT/ent-gate.nsf/docid/2003032507434754 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Troj/Rolark. Usa la falla de WebDAV en servidores IIS _____________________________________________________________ http://www.vsantivirus.com/rolark.htm Nombre: Troj/Rolark Tipo: Caballo de Troya Alias: Rolark, Trj/Rolark, TROJ_ROLARK.A, Exploit-MS03- 007.Crpt, Trojan.W32/ROLARK.A, Exploit:Win32/WebDAV Fecha: 26/mar/03 Plataformas: Windows 32-bit Se trata de una herramienta programada en C++, y diseñada para acceder a sistemas remotos, aprovechando una vulnerabilidad presente en algunos sistemas que utilizan Windows 2000. Mediante esta utilidad, un atacante puede obtener el control total sobre el sistema atacado. Dicha vulnerabilidad consiste en un desbordamiento de buffer en el componente WebDAV (ver "Falla crítica en servidores Microsoft IIS 5.0 (MS03-007) http://www.vsantivirus.com/vulms03-007.htm). Rolark no muestra mensajes o avisos que alerten sobre su presencia, ya que no se instala ni se copia en el sistema. Se trata de una herramienta que puede utilizar un atacante para tomar el control de las computadoras vulnerables, que no hayan sido actualizadas (ver "Expertos dicen: la falla en Windows 2000 es muy grave", http://www.vsantivirus.com/26-03- 03a.htm). El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, o copiado de disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día. Rolark no puede propagarse por sí solo. * Soluciones Instalación de los parches correspondientes y examen de archivos con antivirus actualizado. Más información en estos enlaces: Falla crítica en servidores Microsoft IIS 5.0 (MS03-007) http://www.vsantivirus.com/vulms03-007.htm Maldito parche. Windows 2000 entre la espada y la pared http://www.vsantivirus.com/20-03-03.htm Expertos dicen: la falla en Windows 2000 es muy grave http://www.vsantivirus.com/26-03-03a.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Kindal.A. Crea un flujo enorme de datos enviados _____________________________________________________________ http://www.vsantivirus.com/kindal-a.htm Nombre: W32/Kindal.A Tipo: Gusano de Internet Alias: W32/Kindal@MM, I-Worm.Kindal, W32.HLLP.Kindal@mm, W32/Kindal Fecha: 7/mar/03 Tamaño: 936,111 bytes Plataforma: Windows 32-bit Es un gusano capaz de enviarse en forma masiva a todos los usuarios de la libreta de direcciones de Windows (.WAB), en una variedad grande de posibles mensajes electrónicos. Ejemplo 1: De: The SoftNet Security HQ <d.mike@netsecurityhq.com> Asunto: Free Net Security Bullettin Service: New security hole. Datos adjuntos: CP_2OOAF3.exe Texto del mensaje: Cumulative Patch: (CP_2OOAF3) Priority: Medium/High Patch availability: Win9x/NT/XP The problems could let an attacker run code on your machine, read certain types of data files on an affected system, or misrepresent the origin of a file offered for download. Please, make sure your system is not affected by this problem by running the attached Analyzer/Patch. Regards, The SoftNet Security HQ. -- Mike Donovald Softnet Security HQ email: Ejemplo 2: De: Wine Richman <w.richman@itoneonline.org> Asunto: Wine Richman - my updated resume. Datos adjuntos: Wine_Richman.exe Texto del mensaje: Dear Ms. Tempton: It was very enjoyable to speak with you tod ay about the assistant account executive position at the Smith Agency. The job seems to be an excellent match for my skills and interests. The creative approach to account management that you described confirmed my desire to work with you. Please find my updated resume in the attachment. Sincerely, Wine Richman w.richman@itoneonline.org File: Wine_Richman.exe ( Selfextracting zip archive ) Ejemplo 3: De: Anne Rosoe <anne_resoe79@hotmail.com> Asunto: Hi, news about the party ! Datos adjuntos: Party List-Anne.exe Texto del mensaje: Hi wazzzup ? As promised I'm sending you the zip with all the details about the party and the list for the things we are still missing. Let me know what you think ! cheers Anne. Ejemplo 4: De: Skid Marton [@work] <enemy@8mileroad.ca> Asunto: I mate, there you go... Datos adjuntos: This_Is_How_I_Feel-Track-02.remixed.exe Texto del mensaje: Lyrics below and audio track file attached. Cya ! (It's okay, it's okay. I'm gonna make it anyway.) Sometimes I just feel, like Quittin I still might Why do I still write? And show these people what my level of skill's like Sometimes I just hate life, Somethin ain't right I'm goin the fuck home, She don't understand Time for me to just to take matters into my own hands Sometimes I get upset I'm just tryin to do what's best And I try Sit alone and I cry Please I'm beggin you God Please don't let me be pigeon holdin on regular job Wherever you are, I'm tellin you dog I've got every ingredient All I need is the courage Cuz I ain't havin no luck with this so fuck it Ejemplo 5: De: Stan Crossfert <stan.cros@NO_SPAMrabbitrun.org> Asunto: Hi Marshall, here is my project for you to check... Datos adjuntos: ProjectPlans.exe Texto del mensaje: Hey ya, check out the attached zip executable. Have a look at the whole thing, but pay attention to Fiona's plans (Folder Fiona\mywishes.txt ). She is going pretty much out of the schemes. Ah, I forgot, how's your mum ? Cuando el gusano envía un mail a cada contacto de la libreta de direcciones, pone a todas las demás en el campo CCO: (usado para el envío de copias con destinatario oculto). Esto hace que los mensajes sean enviados a cada dirección, tantas veces como usuarios existan en la libreta de Windows. Además, revela al menos a otra persona la dirección electrónica de la víctima infectada... Además genera un flujo enorme de envío de datos, no solo por la cantidad de mensajes, sino también por el tamaño del adjunto, 936,111 bytes. Esto es especialmente notorio en los usuarios con conexión vía módem. El gusano utiliza su propio motor SMTP para enviarse, no dependiendo de la presencia de un cliente de correo específico para ello. Utiliza los datos de configuración de la cuenta SMTP predeterminada de la víctima. También intenta copiarse a si mismo en las carpetas compartidas de utilidades P2P como KaZaA, Overnet, LimeWire o Morpheus. Sin embargo esta característica parece no funcionar. Estos son los archivos que pretende copiar: [eBook] Sex And The City Zipped.exe [eBook] The Black Art Of Hacking [eBook] Visual Basic Programming Handlebook.exe [eBook] WebSite Design Zipped.exe [eBook]The Hacker Zipped.exe ACDSee 5.0 (Crack+Serial).exe Adobe Photoshop 6 KeyGen.exe Age of Mythology (NoCD+Crack).exe AGV Antivirus Pro.exe Borland Delphi Trial Crack.exe Britney Spear (Nude Pics Pack).exe Castle Wolfstein Multiplayer KeyGen.exe Civilization III (Latest Cracked Patch).exe CuteFTP PRO (Serial included).exe Diskeeper 7.0 (Trial Crack).exe DivX Codecs Pack (All Needed codecs).exe DivX Video Bundle Doom 3 Leaked Beta.exe Easy CD Creator 5 Preview Crack.exe Eminem - 8 Mile Screensaver.scr Eminem 8 Mile Censored Scene.exe Eminem 8 Mile Wallpaper.exe Eminem Desktop.exe Final Fantasy ROM collection I.exe GetRight 4.5e (KeyGen+Crack).exe Hacker Tools Pack.exe HyperSnap-DX (Full + Crack).exe ICQ Sniffer.exe kaspersky Anti-Virus Kaspersky Anti-Virus Pro (KeyGen+Crack).exe Leisure Suit Larry 6.exe Lord Of The Rings Screensaver.scr Lula The Sexy Empire (Full+Crack).exe Macromedia Flash MX 6.0 Crack.exe MAME ROMS Archive I.exe MAME ROMS Archive II.exe mIRC32 (Serial included).exe MyStuff Archive.exe Nero Burning Rom 5.5 KeyGen.exe Nintendo64 Emulator (ROM included).exe Old Games Collection I.exe Paint Shop Pro 7 Crack.exe Paint Shop Pro7 KeyGen.exe PC-Cillin 9.02 (Keygen+Crack).exe Personal Firewall Pro.exe Personal Web Server.exe Porn Games Collection I.exe PornStar Pic.jpg.pif Quake 3 Arena CD KeyGen.exe Queens Of The Stone Age (Complete Album).exe Stacy Valentine.pif Strip Poker 3.exe SWiSH 2.0 KeyGen+Crack.exe The Eminem Show (Full Album).exe The Sims Nude Patch.exe The Sims Online Crack.exe Unreal 2 0][0 3 (Official Crack).exe Virtual Valerie 2.exe Warcraft 3 Crack.exe Window Blinds + KeyGen.exe WindowsXP SP KeyGen.exe WinXP Themes Pack.exe Winzip 8.1 Full.exe WinZip 8.1 KeyGen.exe XCOM 3 Apocalypse.exe ZoneAlarm Firewall.exe Los nombres de archivos y otra información, está encriptada y no es visible en el ejecutable. Cuando se ejecuta, el gusano se copia en las siguientes ubicaciones y nombres: C:\Windows\systask32l.exe C:\Windows\System\ln32k.exe También crea una carpeta vacía, y con los atributos de oculta (+H). C:\Windows\System\kindlyback También crea un archivo que solo contiene la fecha del sistema del momento que se ejecutó el gusano. C:\Windows\System\ln32k.DLL Finalmente, crea las siguientes entradas en el registro para autoejecutarse en próximos reinicios del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SysService32 = C:\Windows\systask32l.exe * Reparación manual * Deshabilitar las carpetas compartidas por programas P2P Si utiliza un programa de intercambio de archivos entre usuarios (KaZaa, Morpheus, iMesh, etc.), siga antes estas instrucciones: Cómo deshabilitar compartir archivos en programas P2P http://www.vsantivirus.com/deshabilitar-p2p.htm * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: C:\Windows\systask32l.exe C:\Windows\System\ln32k.exe C:\Windows\System\ln32k.DLL C:\Windows\System\kindlyback Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: SysService32 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 994 - Año 7 - Viernes 28 de marzo de 2003