Mostrando mensaje 45     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 996 - Año 7 - Domingo 30 de marzo de 2003 Fecha: Domingo, 30 de Marzo, 2003  11:37:09 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 996 - Año 7 - Domingo 30 de marzo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Usar cortafuegos, NAT o un Proxy, podría ser ilegal 2 - Sendmail vulnerable otra vez 3 - Actualización crítica para RealPlayer y RealOne Player 4 - W32/Trojan.Greetyah. Descarga un segundo troyano 5 - W32/Walker. Virus y gusano _____________________________________________________________ 1 - Usar cortafuegos, NAT o un Proxy, podría ser ilegal _____________________________________________________________ http://www.vsantivirus.com/30-03-03-htm Usar cortafuegos, NAT o un Proxy, podría ser ilegal Por Jose Luis Lopez videosoft@videosoft.net.uy Examinamos diariamente decenas de noticias, todas relacionadas de un modo o de otro con la seguridad de nuestras computadoras. Algunas las consideramos interesantes como para publicarlas en VSAntivirus.com, simplemente por aquello de "estar enterado para estar seguro". Pero esta noticia en especial, trata de otro tipo de amenaza, la causada por políticos con un total desconocimiento del mundo tecnológico. La DMCA (Digital Millenium Copyright Act), es una polémica ley aprobada por el congreso norteamericano en 1998 para adaptar la protección de la propiedad intelectual a la Era Digital. Aunque se supone que esta ley nació para luchar contra la piratería de música, películas y otras obras protegidas por derechos de autor, desde el principio se la acusó de otorgarle demasiado poder a la industria, limitando los derechos de los consumidores y poniendo en peligro las innovaciones tecnológicas. Una de las cláusulas que mayores controversias ha desatado, es la que hace referencia a la prohibición de saltearse cualquier clase de medidas empleadas por los titulares de los derechos para proteger su creación. De este modo, cualquier actividad del tipo publicación, modificación de software, o investigación que facilite la desprotección de archivos puede ser perseguida. Esto lo vivió en carne propia el joven programador ruso Dmitry Sklyarov, cuando en agosto de 2001 se le ocurrió visitar el DefCon, la famosa convención anual de hackers y expertos en seguridad que se desarrolla en Las Vegas, para dar una conferencia sobre las debilidades del sistema de protección de contenidos de Adobe. Allí presentó el Advanced eBook Processor, un programa de la compañía para la que trabaja (ElcomSoft), y que entre otras cosas transforma los archivos pdf protegidos de Adobe (el utilizado para los libros electrónicos) en otros archivos pdf normales. Cuando Sklyarov abandonaba el país para volver al suyo, fue apresado por agentes del FBI y enviado a prisión. Aunque finalmente fue liberado (mediante una fianza de 50,000 dólares), se le acusó (a él y a su compañía), de cargos muy graves. El tema es que la tecnología desarrollada por Sklyarov es legal en su país de origen pero viola las leyes de derechos de autor en los Estados Unidos. Recién más de un año después (noviembre 2002), un tribunal federal absolvió a la empresa rusa y a su programador de la acusación de crear y vender material informático para romper las protecciones del sistema "e-Book", en el primer juicio por violación de la DMCA. De todos modos, de un juicio por desproteger un código a que se llegue a considerar ilegal a un cortafuegos, parecería existir un abismo. O tal vez no... Los estados de Massachusetts y Texas están considerando ampliar los alcances de la DMCA, de tal modo que esto prohibiría también la posesión, venta o utilización de tecnologías "que encubran la existencia, lugar de origen o destino de cualquier clase de comunicación". Esto significa que cualquier tipo de cifrado o encriptación puede llegar a ser ilegal. También lo serían los cortafuegos, un proxy, o cualquier software o hardware que utilice NAT. NAT es la "Traducción de Direcciones de Red" por sus siglas en inglés (Network Address Translation), también conocido como "Enmascaramiento de IP". Se trata de un modo muy simple y aconsejable de conectar una red a Internet sin tener que comprar o alquilar direcciones IP para cada máquina. A los ojos de quien recibe la solicitud de algún servicio (una página Web por ejemplo), existe una sola computadora, cuando en realidad son todas las computadoras de una red las que se pueden conectar. Por supuesto, es algo legal y técnicamente aconsejable para ahorrar las direcciones IP asignadas. Si hilamos más fino, respecto a los alcances de prohibir toda forma de encubrir origen y destino de cualquier clase de comunicación, podríamos decir que esencialmente, el propio Windows, o hasta Internet podrían llegar a ser ilegales. Algunas reacciones que ha tenido esta noticia, son muy sencillas y contundentes. Desde las más suaves que afirman que los políticos no deberían tomar decisiones sobre temas que involucren la tecnología, hasta aquellos que simplemente los catalogan de "verdaderos idiotas" (sic). (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Sendmail vulnerable otra vez _____________________________________________________________ http://www.vsantivirus.com/vul-direcciones-sendmail.htm Sendmail vulnerable otra vez Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Ha sido reportada una nueva vulnerabilidad en sendmail que puede ser explotada para causar una condición de denegación de servicios (DoS), permitiendo a un intruso ejecutar código en forma arbitraria con los privilegios de administrador local (root). Son afectados las siguientes versiones: Sendmail Pro (todas las versiones) Sendmail Switch 2.1 anterior a la versión 2.1.6 Sendmail Switch 2.2 anterior a la versión 2.2.6 Sendmail Switch 3.0 anterior a la versión 3.0.4 Sendmail for NT 2.X anterior a la versión 2.6.3 Sendmail for NT 3.0 anterior a la versión 3.0.4 Sistemas ejecutando versiones de código libre de sendmail anteriores a la 8.12.9, incluyendo sistemas UNIX y Linux La falla se produce debido a que el código que debería verificar la longitud de las direcciones de correo electrónico, no lo hace correctamente, lo que provoca que éstas puedan exceder el espacio asignado en memoria durante su procesamiento, provocando un clásico desbordamiento de búfer, con la posibilidad de ejecución de código malicioso. Se trata de una falla diferente a la anunciada a principio de marzo de 2003 (http://www.vsantivirus.com/vul-bufer-sendmail.htm). Sendmail es el agente de transferencia de correo más empleado en Internet (MTA por sus siglas en inglés, "mail transfer agent"). La vulnerabilidad puede ser explotada a través del contenido de un mensaje de correo electrónico diseñado especialmente. Debido a sus características, los servidores de sendmail vulnerables en el interior de una red con varios MTA, continúan estando en peligro, aún cuando el MTA que se conecta a Internet utilice otro software distinto a sendmail. Un mensaje capaz de explotar esta vulnerabilidad, puede ser ignorado por la mayoría de los filtros o cortafuegos, los que simplemente los dejan pasar (hacia otra computadora o sistema). Más información: http://www.sendmail.org http://www.sendmail.org/8.12.9.html http://www.sendmail.com/security/ Para información actualizada acerca de esta vulnerabilidad, incluyendo la más reciente de los distribuidores, se puede consultar en: http://www.kb.cert.org/vuls/id/897604 La solución es actualizar la versión de sendmail utilizada (8.9, 8.10, 8.11 y 8.12), o instalar una nueva versión (la 8.12.9), si se tiene una más vieja que la versión 8.9. Estas actualizaciones, y las firmas de los archivos, están localizadas en: ftp://ftp.sendmail.org/pub/sendmail/prescan.tar.gz.uu ftp://ftp.sendmail.org/pub/sendmail/prescan.tar.gz.uu.asc La información de actualizaciones esta disponible en: http://www.sendmail.com/security/ * Referencias: Grave falla en Sendmail compromete la seguridad http://www.vsantivirus.com/vul-bufer-sendmail.htm Software para envío de correo, infectado por virus http://www.vsantivirus.com/10-10-02.htm Unix/Sendmail-ADM. Versión troyanizada de "Sendmail" http://www.vsantivirus.com/unix-sendmail-adm.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Actualización crítica para RealPlayer y RealOne Player _____________________________________________________________ http://www.vsantivirus.com/vul-realplayer3.htm Actualización crítica para RealPlayer y RealOne Player Por Redacción VSAntivirus vsantivirus@videosoft.net.uy RealNetworks liberó una actualización para sus productos RealOne Player y RealPlayer 8 entre otros. Todos poseen una vulnerabilidad que permite a un atacante ejecutar código y tomar el control de una computadora, simplemente por medio de un archivo de imágenes en formato PNG (Portable Network Graphics), manipulado en forma maliciosa. La vulnerabilidad es causada por un error en los márgenes de los valores de descompresión de los archivos PNG. Un atacante puede cambiar en forma premeditada solo dos valores en esos archivos, para que RealPlayer y RealOne asuman una longitud errónea, corrompiendo la memoria, o ejecutando código arbitrario con los privilegios de usuario local. El error se produce en una librería de compresión del componente RealPix del Player, la cuál ha sido actualizada para evitar esa falla. Pero además, RealNetworks informa que se ha revisado todo el código del RealOne Player para identificar el riesgo en otras áreas donde esta librería de compresión es usada, y todas ellas ahora son seguras. Software afectado: RealOne Player y RealOne Player v2 para Windows (todos los idiomas) RealPlayer 8 para Windows (todos los idiomas) RealPlayer 8 para Mac OS 9 RealOne Player para Mac OS X RealOne Enterprise Desktop Manager RealOne Enterprise Desktop (todas las versiones) El Helix DNA Client no es afectado por esta vulnerabilidad. Se aconseja descargar e instalar a la brevedad las nuevas versiones actualizadas. La forma de instalación está explicada en el sitio de descarga: http://service.real.com/help/faq/security/securityupdate_march2003.html * Relacionados: Manipulación de archivos de RealPlayer provoca su cuelgue http://www.vsantivirus.com/vul-realplayer.htm RealPlayer permite acceso clandestino a nuestros archivos http://www.vsantivirus.com/vul-realplayer2.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - W32/Trojan.Greetyah. Descarga un segundo troyano _____________________________________________________________ http://www.vsantivirus.com/greetyah.htm Nombre: W32/Trojan.Greetyah Tipo: Caballo de Troya Alias: TrojanDownloader.Win32.Greetyah Tamaño: 3,072 bytes Fecha: 17/mar/03 Plataforma: Windows 32-bit Este troyano, descarga un archivo de Internet y modifica el registro para su ejecución en el reinicio de Windows. Un envío masivo vía correo electrónico de este troyano, fue detectado el 17 de marzo de 2003, en un mensaje como el siguiente: Date: Mon, 17 Mar 2003 14:57:57 From: replymsg@g1.gc.vip.sc5.yahoo.com To: Ivan Petrov Subject: Elena_M sent you a Yahoo! Greeting Yahoo! Greetings Surprise! You've just received a Yahoo! Greeting from from "Elena_M" (elena_m@mail.ru)! To view this greeting card, click on the following Web address at anytime within the next 30 days. http://view.greetings.yahoo.com/greet/view?*********** If that doesn't work, go to http://view.greetings.yahoo.com/pickup and copy and paste this code: BJWU37Y2S4A Enjoy! The Yahoo! Greetings Team c 1996-2003 Yahoo! Greetings http://greetings.yahoo.com/ El tamaño del código es de 3,072 bytes, y está escrito en assembler. Cuando se ejecuta, muestra una ventana con el siguiente texto: Error Error on line 25: invalid object Do you want to debug? [ Yes ] [ No ] Luego, el troyano descarga del sitio http://view-greetings- yahoo.com el archivo: sysman32.exe Este último contiene otro troyano, identificado como Troj/WMPatch, Troj/WebMoney.WMPatch.b o Trojan.WebMoney.WMPatch.b. Se trata de un troyano capaz de robar contraseñas de nuestra computadora, e información relacionada con las cuentas personales del sistema de finanzas internacionales, llamado WebMoney (www.webmoney.ru). El troyano original copia a "sysman32.exe" en el directorio System de Windows y modifica la siguiente clave del registro: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SystemManager = C:\Windows\System\sysman32.exe "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). El código del troyano contiene los siguientes mensajes encriptados: Error Error on line 25: invalid object Do you want to debug? InternetOpenA InternetOpenUrlA InternetReadFile RegOpenKeyA RegSetValueExA RegCloseKey CloseHandle CreateFileA GetSystemDirectoryA WriteFile wininet.dll advapi32.dll kernel32.dll * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: SystemManager 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Walker. Virus y gusano _____________________________________________________________ http://www.vsantivirus.com/walker.htm Nombre: W32/Walker Tipo: Virus y gusano Alias: Win32.HLLW.Walker Tamaño: 162 Kb (UPX) Plataforma: Windows 32-bit Fecha: 17/mar/03 Se trata de un virus y gusano escrito en Borland C++. El virus es un ejecutable en formato PE (Portable Executable) de 162 Kb comprimido con la utilidad UPX. Descomprimido ocupa 380Kb. Se copia a si mismo en varios archivos en el directorio System de Windows: C:\Windows\System\diskmon.exe C:\Windows\System\walk.exe C:\Windows\System\walk.dll Todos los archivos llevan el atributo de oculto (+H). Luego modifica el registro para autoejecutarse en cada reinicio de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run sys = C:\Windows\System\diskmon.exe "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). También intenta copiarse en la unidad A: si encuentra allí un disquete, con los siguientes nombres: A:\Game.exe A:\Game.dll La infección puede producirse si se ejecuta cualquiera de los dos archivos. El virus infecta archivos PE en el disco duro. No hay ninguna otra acción que delate su presencia en la máquina infectada. * Reparación manual * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: sys 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 996 - Año 7 - Domingo 30 de marzo de 2003