Mostrando mensaje 49     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1000, Año 7, Jueves 3 de abril de 2003 Fecha: Jueves, 3 de Abril, 2003  13:00:50 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1000, Año 7, Jueves 3 de abril de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Los 1000 2 - Hotmail podría estar propagando virus 3 - Desbordamiento de búfer en QuickTime Player 4 - Grave falla en routers 3Com OfficeConnect Remote 812 ADSL 5 - W32/Cult.C. Ahora troyano. Adjunto: BlueMountaineCard.pif 6 - VBS/Lisa.A. Asunto: "Click YES and vote against war!" 7 - Sorteo de cinco licencias de Nod32 _____________________________________________________________ 1 - Los 1000 _____________________________________________________________ Decirlo es fácil. Llegar, solo se puede con el apoyo de todos quienes nos leen. A pesar de todo, para nosotros es solo un número. Lo importante es lo que contiene. Este y los 999 anteriores. Esperemos que también los próximos. Con este breve editorial, solo queremos agradecer a todos nuestros lectores, y a todos aquellos que nos han enviado mensajes de salutación. Responder a todos uno por uno, es imposible. Gracias por ayudar a que VSAntivirus.com sea hoy un referente. Simplemente... una y mil veces gracias... Y ahora, a lo nuestro... Jose Luis Lopez _____________________________________________________________ 2 - Hotmail podría estar propagando virus _____________________________________________________________ http://www.vsantivirus.com/03-04-03.htm Hotmail podría estar propagando virus Por Angela Ruiz angela@videosoft.net.uy Según una noticia publicada en algunos medios, Hotmail podría estar propagando ciertos virus, aún cuando los usuarios reciban una notificación de que el archivo adjunto esté libre de ellos. A pesar del aviso, al descargarse el mensaje, el antivirus personal detecta el virus W32/Ganda.A, un gusano que se propaga a través del correo electrónico utilizando como señuelo unas supuestas imágenes de Irak obtenidas por satélites espías. Parecería que la protección automática del anti virus utilizado por Hotmail, el VirusScan de McAfee no detecta correctamente al virus Ganda. Según IDG, uno de los más prestigiosos editores de información tecnológica, esto solo ocurre con VirusScan, no con los demás programas antivirus, que sí detectan y eliminan eficazmente el gusano. MSN, la división de Microsoft que administra Hotmail, ya ha puesto en conocimiento de McAfee el problema, y le ha solicitado una solución urgente. Por su parte McAfee, solo ha comentado públicamente que la irregularidad está siendo estudiada. De todos modos, recordamos a los lectores de VSAntivirus, la importancia de seguir las reglas básicas de protección en nuestras computadoras personales, tenga o no antivirus nuestro proveedor. Esto es, antivirus actualizado monitoreando y no abrir absolutamente ningún adjunto que no hayamos solicitado. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - Desbordamiento de búfer en QuickTime Player _____________________________________________________________ http://www.vsantivirus.com/vul-quicktime-url.htm Desbordamiento de búfer en QuickTime Player Por Redacción VSAntivirus vsantivirus@videosoft.net.uy QuickTime Player es un popular reproductor de medios usado tanto en plataformas Windows como Apple Mackintosh. Recientemente se ha descubierto en su versión Windows, una vulnerabilidad producida por un desbordamiento de búfer que puede permite la ejecución de código aleatorio en la máquina afectada. La falla ocurre por un error en la forma de gestionar las URLs. Un URL (Uniform Resources Locator o Localizador Uniforme de Recursos), es un "apuntador" a la ubicación de cualquier archivo, como por ejemplo una página HTML. Cuando se accede a un recurso de QuickTime de la forma "quicktime:/ /recurso" o "QuickTimePlayer.exe -u recurso", si la URL a la que se intenta acceder excede los 400 caracteres se produce un desbordamiento de búfer, al excederse el espacio asignado en memoria para el manejo de las direcciones. Los desbordamientos de búfer de este tipo son los más comunes, y prácticamente todo el software conocido lo sufre, solo que la mayoría no ha sido probado aún. Cuando la cantidad de bytes supera esa cantidad, el resto de ellos "cae" en partes críticas, de modo que incluso podrían ser ejecutados como cualquier programa, en este caso automáticamente. Un uso maligno de esta falla, podría permitir la ejecución de virus o troyanos en nuestro sistema. De todos modos, la mayoría de las veces se produce un cuelgue del programa reproductor (negación de servicio), o incluso de todo el sistema operativo. Por defecto, QuickTime se instala en el registro de la siguiente forma: HKEY_CLASSES_ROOT/quicktime [camino]\QuickTimePlayer.exe -u"%1" Esto supone un riesgo importante, ya que por defecto cualquier cliente QuickTime es vulnerable. Las versiones afectadas son las versiones 5.x y 6.0 para plataformas Windows. La solución es descargar e instalar la versión 6.1, en donde la falla ha sido solucionada. Descarga de QuickTime 6.1: http://www.apple.com/quicktime/download/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Grave falla en routers 3Com OfficeConnect Remote 812 ADSL _____________________________________________________________ http://www.vsantivirus.com/vul-routers-812.htm Vulnerabilidad en routers 3Com OfficeConnect Remote 812 ADSL Por Redacción VSAntivirus vsantivirus@videosoft.net.uy En muchos países (España incluido), los routers 3Com OfficeConnect Remote 812 ADSL son ampliamente utilizados en instalaciones ADSL. Se ha reportado una vulnerabilidad en estos routers, cuya explotación podría permitir que se realizaran conexiones desde Internet al interior de una red local, aún a pesar de las políticas que lo impidan (filtrado, etc.). Debido a una incorrecta implementación de la tabla de estados, se permite el acceso total desde el servidor, al establecerse una conexión hacia o desde la red a la que da acceso el router. Sin embargo, para que ello ocurra, es necesario que el equipo acceda a un servidor web. Si ello es así, entonces queda habilitado el acceso total desde el servidor web al equipo protegido por el router. Una vez que se tiene acceso total a la máquina protegida, cualquier acción puede ser llevada a cabo. Mientras no existan soluciones, podrían utilizarse cortafuegos adicionales, incluso personales, en las computadoras que acceden a la red tras el router. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - W32/Cult.C. Ahora troyano. Adjunto: BlueMountaineCard.pif _____________________________________________________________ http://www.vsantivirus.com/cult-c.htm Nombre: W32/Cult.C Tipo: Gusano de Internet Alias: W32.HLLW.Cult.C@mm Fecha: 2/abr/03 Tamaño: 22,016 bytes Plataforma: Windows 32-bit Se trata de un gusano escrito en Visual C++ y comprimido con XTPack, capaz de enviarse en forma masiva a través del correo electrónico. Esta versión posee capacidades de troyano backdoor, permitiendo actividades clandestinas en la computadora infectada, la que puede ser controlada remotamente por un atacante remoto. Para esto, el gusano utiliza los canales de IRC (Internet Relay Chat). Para el envío a través del correo, utiliza su propia rutina SMTP, por lo que no depende del programa de correo instalado en la computadora infectada para propagarse. El mensaje enviado presenta estas características: Asunto: Hi, I sent you an eCard from BlueMountain.com Datos adjuntos: BlueMountaineCard.pif Texto del mensaje: To view your eCard, open the attachment If you have any comments or questions, please visit htto://www.bluemountain.com/customer/index.pd Thanks for using BlueMountain.com. El adjunto es el gusano propiamente dicho, el cuál simula ser una tarjeta electrónica de salutación. Cuando el usuario intenta abrirla, el gusano se copia a si mismo en la carpeta System ("C:\Windows\System" en Windows 9x/ME, "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP). C:\Windows\System\iexplorer.exe El gusano se agrega al registro en las siguientes claves, para autoejecutarse en cada reinicio de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion\Run sysconfig = iexplorer.exe Si el sistema operativo es Windows 95, 98 o Me, el gusano se registra como un proceso del tipo servicio, de este modo no es visible al examinar la lista de tareas activas (CTRL+ALT+SUPR), y está disponible para todos los usuarios si se usa cerrar sesión. HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices sysconfig = iexplorer.exe El componente troyano backdoor del gusano se conecta a algunos canales de IRC (no utiliza ningún cliente previamente instalado en la computadora infectada), y notifica al atacante su presencia. Luego queda a la espera de los comandos que éste pueda enviarle. Una computadora infectada, puede ser accedida entonces en forma remota, vía Internet, y las siguientes acciones realizadas (entre otras): - Envío de información privada y del sistema al atacante - Descarga y ejecución de archivos - Actualización dinámica del propio gusano, agregando nuevas características. - Envío del gusano a otros canales de IRC para infectar otras computadoras. - Ejecución de la rutina de envío masivo vía e-mail El gusano se conecta en forma alternativa a varios servidores SMTP indicados en una lista interna en su código, para enviar sus mensajes infectados, como el descripto al principio. Se envía a todos los contactos de la libreta de direcciones de Windows (WAB, Windows Address Book). También recoge direcciones en los archivos temporales de la memoria caché y otros. Los mensajes enviados poseen una dirección de remitente falsa. Los mensajes son armados de acuerdo al siguiente criterio: 1. Selecciona el nombre del remitente de una lista de 100 nombres comunes, encriptados en su propio código. Por ejemplo: Gammons Kaylee Lighthall McRaney Peter Raker Sandra Sandy Michel Selnes Vittorini [Etc.] 2. Selecciona como destinatario un nombre ficticio seleccionado de una cadena cifrada de un máximo de 8 caracteres, agregándole uno de los siguientes dominios: Earthlink.net email.com hotmail.com msn.com Roadrunner.com yahoo.com * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: C:\Windows\System\iexplorer.exe Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: sysconfig 4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServices 5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: sysconfig 6. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * El IRC y los virus Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados. Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas. En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos. Vea también: Los virus y el IRC (por Ignacio M. Sbampato) http://www.vsantivirus.com/sbam-virus-irc.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 6 - VBS/Lisa.A. Asunto: "Click YES and vote against war!" _____________________________________________________________ http://www.vsantivirus.com/lisa-a.htm VBS/Lisa.A. Asunto: "Click YES and vote against war!" http://www.vsantivirus.com/lisa-a.htm Se han visto alertas recientes de este gusano. VSAntivirus lo describe desde el 27 de febrero de 2003. Ver la descripción completa en http://www.vsantivirus.com/lisa-a.htm. (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 7 - Sorteo de cinco licencias de Nod32 _____________________________________________________________ http://www.vsantivirus.com/sorteo.htm Sorteo de cinco licencias de Nod32 Formulario de inscripción 1. Para participar en el sorteo de las cinco licencias del antivirus Nod32 ingrese su dirección electrónica, nombre y país en el formulario de la siguiente página: http://www.vsantivirus.com/sorteo.htm 2. En un plazo no mayor de 12 horas, recibirá un número generado al azar con el que participará. Dicho número es único y será válido hasta la finalización del sorteo. Sin embargo, se aceptará solo un acierto por número. 3. Cada fin de semana hasta completar el sorteo de las cinco licencias, todo número coincidente con las cifras finales del primer premio del sorteo semanal de la Lotería Uruguaya (http://www.loteria.gub.uy/default.htm), se hará acreedor de la licencia válida por un año de un paquete personal del Antivirus Nod32, cedido a VSAntivirus por Ontinet.com, S.L, distribuidor exclusivo en España del mismo. 4. En caso de no coincidir ningún número con el primer premio, se hará acreedor el más cercano al mismo y se publicará su nombre en nuestro sitio. Para evitar el SPAM, no se mostrará su dirección de correo completa. 5. El ganador será avisado de los pasos siguientes para hacerse de su premio. Su número no participará en el resto de los sorteos hasta completar los cinco paquetes sorteados. 6. Podrán participar todos los suscritos a nuestro boletín, y no se enviará más de un número por dirección suscrita. 7. Si la dirección electrónica utilizada no coincide con la de un usuario registrado, no será enviado ningún número para participar. Asegúrese de que la dirección es la misma que figura al pie de cada boletín, donde dice : "Este boletín es enviado a: [aquí va su dirección]" 8. El primer sorteo válido será el viernes 4 de abril de 2003, y así cada viernes subsiguiente hasta completar las cinco licencias. Más información: Festejamos los 1000 regalando cinco licencias de Nod32 http://www.vsantivirus.com/sorteo-1000.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1000, Año 7, Jueves 3 de abril de 2003